Trojaner-Board - Desktop hat sich verändert

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Desktop hat sich verändert (https://www.trojaner-board.de/80664-desktop-hat-veraendert.html)

Desktop hat sich verändert

Moin Leute!
Ich hab heute im inet gesurft auf einer seite auf der ich schon 1000 mal war (http://battleforge.gamona.de/)
Da sind 4 meldungen von antivir gekommen
2mal TR/Dropper.GEN
und 2mal TR/PCK.Tdss.AA.2418
aber das ist nicht das Problem, sondern dass sich der Desktophintergrund in einen Neongrünen mit schwarzen Kasten verändert hat. Das Problem hatte ich noch nie und möchte wissen ob das normal ist.
Zusätzlich erscheint unten rechts manchmal auf englisch der text dass ich nach updates für windows suchen soll und darauf klicken soll. Das symbol idt ein weißes Kreuz auf rotem Kreis.

Danke im vorraus MfG Linkk

ry für doppelpost, aber ich weiß nciht wie ichs sonst machen soll
hier ist die meldung... die hab cih davor auch noch nie gesehen

Du hast dir da eine scheiße eingefangen.

Sag mir mal ob es diese Dateien auf deinem computer gibt:

%Program Files%\AV Care\AVCare.exe
%Program Files%\AV Care\Uninstall.exe
%Program Files%\AV Care\PP.exe

AUF KEINEN FALL DIESES SCHEIß POPUP ÖFFNEN!!

Wenn die nicht vorhanden sind acker dieses Liste mal ab:
http://www.windowsvistaplace.com/rem...ersoftware/de/

/Edit:

Du hast dir sogenannte "Scareware" eingefangen.

Und wenn schon dann diese:
http://www.411-spyware.com/de/your-s...#how-to-remove

Und wenn das nicht hilft, melde dich einfach nochmal^^

Der Pfad sieht aus wie für Vista also cih ahb XP und in C\Programme gibts kein AVCare bei mir

Hab's editet!

Okay, hast anscheinen recht^^

C:\Program Files <-- nach av care suchen. wenn nicht die andere liste abackern, die dort unten als link gepostet wurde.

Error:
"Falscher Parameter"

Ist es normal dass "Der taskmanager durch den Administrator deaktiviert wurde"
Also cih bin der Administrator natürlich ^^

ich geh jetzt offline. entweder du addest mich in icq - 568899568 oder wir reden morgen hier weiter. *hust* icq wäre mir angenehmer^^

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Falls der Schlüssel System noch nicht existiert, dann musst du ihn erstellen."Bearbeiten" > "Neu" >
"Schlüssel". Als Schlüsselnamen "System" eingeben.
Doppelklicken Sie auf "DisableTaskMgr".
Falls dieser Schlüssel noch nicht existiert, dann musst du ihn erstellen.
Dazu klicken mit der rechten Maustaste in das rechte
Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert". (REG_DWORD)
Geben Sie nun den Namen "DisableTaskMgr" ein.
Änder den Wert von "1 "auf "0".
Die Änderungen werden wahrscheinlich erst nach einem Neustart aktiv.
Hinweise:
DisableTaskMgr:
0 = Der TaskManager ist eingeschalten/aktiviert.
1 = Der TaskManager ist ausgeschalten/deaktiviert.

Nein das ich nicht normal, ich such dir gleich den passenden Registry-Schlüssel raus, den du ändern musst^^

ok cih habe alles ab dem ordner CurrentVersion erstellt und starte den PC jezz neu... mal sehn ob er hochfährt....

Edit:
hochfahren klappt Tskmgr nicht... ich werde jezz ein paar virenprogramme durchlaufen lassen....

HiJackThis File:

Code:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 00:30:11, on 23.12.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

K:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\LVCOMSX.EXE

D:\Programme\Logitech\Video\LogiTray.exe

C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe

D:\Programme\Logitech\Video\FxSvr2.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\winupdate86.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Creative\Shared Files\CTSched.exe

C:\Programme\Vtune\TBPanel.exe

C:\Dokumente und Einstellungen\Bjarne\Anwendungsdaten\9.exe

K:\Programme\Logitech\SetPoint\SetPoint.exe

K:\Programme\SpeedFan\speedfan.exe

C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE

C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe

C:\Programme\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe

E:\Programme\Mozilla Firefox\firefox.exe

K:\Programme\SpeedFan\speedfan.exe

E:\Programme\ICQ6.5\ICQ.exe

C:\WINDOWS\system32\msiexec.exe

K:\Programme\ASCOMP Software\Files Suite\fsuite.exe

K:\Programme\HiJackThis\TrendMicro\HiJackThis\HiJackThis.exe

C:\WINDOWS\system32\SearchProtocolHost.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (file missing)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon86.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - d:\Programme\WS_FTP Pro\wsbho2k0.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (file missing)

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SetRefresh] C:\Programme\COMPAQ\SetRefresh\\SetRefresh.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe 

O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon

O4 - HKCU\..\Run: [TBPanel] C:\Programme\Vtune\TBPanel.exe /A

O4 - HKCU\..\Run: [Win32load] C:\Dokumente und Einstellungen\Bjarne\Anwendungsdaten\9.exe -lds

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: SpeedFan.lnk = K:\Programme\SpeedFan\speedfan.exe

O4 - Global Startup: Logitech SetPoint.lnk = K:\Programme\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Namo SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O15 - Trusted Zone: http://www.joomlaos.de

O15 - Trusted Zone: http://www.spieleforum.de

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1226747589718

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - K:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
 

--

End of file - 11350 bytes

Zitat:

Zitat von Linkk (Beitrag 488563)

Das war warscheinlich einfach nur Werbung.Solange das Update Symbol nicht auf der Website ist kannst du es ruhig anklicken ;)

Zitat:

Zitat von Inmate (Beitrag 488579)

Das war warscheinlich einfach nur Werbung.Solange das Update Symbol nicht auf der Website ist kannst du es ruhig anklicken ;)

Werbung?? Ist es für dich werbung wenn dein desktop nen andern hintergrund bekommt, den man nciht ändern kann, der taskmanager nicht mehr geht und dauernd ein pop-Up erscheint???

Hallo,

der tdss/tdl ist mit Sicherheit keine harmlose Werbung, das ist ein rel. hartnäckiges Rootkit!

@Linkk, bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

ok hier sind logfiles

P.S. Taskmanager geth wieder ^^

Wo sind die von RSIT? Hast Du die Funde mit MalwareBytes nicht entfernen lassen?!

sorry RSIT ist ncoh nicht fertig ich hab nur malware und hijack hochgeladen weil ich die über die nacht gemacht habe

Ich habe eine Frage:
Könnte ein Systemwiederherstellungspunkt von vor 2-3Wochen das Problem beheben?

Nee, bei einem aktiven Rootkit seh ich die Chance auf Erfolg mit der SWH bei quasi 0% :D

schade...
hier ist mti RSIT log ^^

ich seh grad dass da mein name steht aber is ja nur mein vorname....

neu aufsetzen würde das problem beheben oder? das wollte ich sowieschon lange mal wieder machen ^^

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

registry values to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | cchost.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | winupdate86.exe
 

files to delete:

C:\Dokumente und Einstellungen\Bjarne\Anwendungsdaten\9.exe

C:\WINDOWS\system32\winupdate86.exe

C:\WINDOWS\system32\AVR10.exe

C:\WINDOWS\system32\winhelper86.dll

C:\WINDOWS\system32\winlogon86.exe

C:\WINDOWS\system32\~.exe

C:\WINDOWS\system32\cchost.exe

C:\Sfs.tmp

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

^^ Asche üebr mein Haupt ich hab eben erst den Button "ausgewählte Dateien löschen" gesehen :o
Naja jetzt is der desktop weider normal und pop-ups sind auch noch keine gekommen :Boogie:
ich lasse malware grad nochmal scannen und nach resten suchen...
Danke sehr an alle :daumenhoc

Du sollst den Avenger anwenden!!

so aoll cih den komplotten log uppen? also da steht kein rootkit gefunden...

ahc egal heir ist er ^^

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\Dokumente und Einstellungen\***\Anwendungsdaten\9.exe" deleted successfully.
 

Error:  file "C:\WINDOWS\system32\winupdate86.exe" not found!

Deletion of file "C:\WINDOWS\system32\winupdate86.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\AVR10.exe" not found!

Deletion of file "C:\WINDOWS\system32\AVR10.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\winhelper86.dll" not found!

Deletion of file "C:\WINDOWS\system32\winhelper86.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\winlogon86.exe" not found!

Deletion of file "C:\WINDOWS\system32\winlogon86.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\~.exe" not found!

Deletion of file "C:\WINDOWS\system32\~.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\cchost.exe" not found!

Deletion of file "C:\WINDOWS\system32\cchost.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error: "C:\Sfs.tmp" is a folder, not a file!

Deletion of file "C:\Sfs.tmp" failed!

Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)

  --> use "Folders to delete:" instead of "Files to delete:" to delete a directory
 

Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cchost.exe" deleted successfully.
 

Error:  could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|winupdate86.exe"

Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|winupdate86.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Ok, nun bitte noch einen Durchlauf mit Combofix, ich hoffe, wir sind dann durch:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

so hier ist der log

Code:

ComboFix 09-12-22.09 - Bjarne 24.12.2009   0:21.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2801 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Bjarne\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\EventSystem.log

c:\windows\system32\BReWErS.dll

c:\windows\system32\Data

c:\windows\system32\SIntf16.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-11-23 bis 2009-12-23  ))))))))))))))))))))))))))))))

.
 

2009-12-23 19:09 . 2009-12-23 19:10        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\TS3Client

2009-12-23 13:58 . 2009-12-23 13:58        --------        d-----w-        c:\programme\trend micro

2009-12-23 13:58 . 2009-12-23 13:58        --------        d-----w-        C:\rsit

2009-12-22 23:41 . 2009-12-22 23:41        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Malwarebytes

2009-12-22 23:41 . 2009-12-03 15:14        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-22 23:41 . 2009-12-22 23:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-12-22 23:41 . 2009-12-03 15:13        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-12-22 23:22 . 2009-12-22 23:22        388096        ----a-r-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe

2009-12-18 19:47 . 2009-12-18 19:51        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Tropico 3

2009-12-14 21:02 . 2009-12-14 21:02        --------        d-----w-        c:\windows\Performance

2009-12-14 21:02 . 2009-12-14 21:02        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Lokale Einstellungen\Anwendungsdaten\Microsoft Corporation

2009-12-14 21:01 . 2009-12-14 21:01        --------        d-----w-        c:\programme\Microsoft Windows 7 Upgrade Advisor

2009-12-14 20:26 . 2009-12-14 20:26        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\ASCOMP Software

2009-12-12 10:15 . 2007-05-13 11:24        86683        ----a-w-        c:\windows\system32\pthreadGC2.dll

2009-12-10 21:17 . 2009-12-10 21:17        --------        d-----w-        C:\Sfs.tmp

2009-12-10 17:53 . 2009-12-10 17:53        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Lokale Einstellungen\Anwendungsdaten\Yahoo!

2009-12-10 16:03 . 2009-12-10 19:27        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Steganos

2009-12-09 22:05 . 2009-12-09 22:05        --------        d-----w-        c:\programme\Microsoft Visual Studio 8

2009-12-02 15:40 . 2009-12-02 15:40        23600        ----a-w-        c:\windows\system32\drivers\TVICHW32.SYS

2009-12-02 15:40 . 2009-12-02 15:40        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Lokale Einstellungen\Anwendungsdaten\eSupport.com

2009-12-01 20:32 . 2009-12-01 20:32        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\LolClient.F24C99354F615F3BAB18AE7B93E3F9B9E8784FA6.1

2009-12-01 19:26 . 2009-12-01 19:26        38208        ----a-w-        c:\dokumente und einstellungen\Default User\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2009-12-01 19:26 . 2009-12-01 19:26        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe AIR
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-23 15:27 . 2007-02-24 08:08        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2009-12-21 17:21 . 2008-11-11 16:08        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\gtk-2.0

2009-12-12 10:26 . 2009-04-19 15:16        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp

2009-12-11 22:48 . 2009-01-11 16:11        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Skype

2009-12-11 22:45 . 2009-10-19 18:52        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\skypePM

2009-12-10 15:23 . 2001-08-23 12:00        95142        ----a-w-        c:\windows\system32\perfc007.dat

2009-12-10 15:23 . 2001-08-23 12:00        486800        ----a-w-        c:\windows\system32\perfh007.dat

2009-12-09 22:06 . 2008-08-20 15:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

2009-12-02 17:46 . 2007-02-24 07:09        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-11-25 17:45 . 2008-10-02 18:48        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Xfire

2009-11-22 14:38 . 2009-11-22 14:38        4876        ----a-w-        c:\dokumente und einstellungen\Bjarne\FilterData.dat

2009-11-21 19:35 . 2009-01-07 15:51        139584        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys

2009-11-21 19:35 . 2009-01-07 15:50        189104        ----a-w-        c:\windows\system32\PnkBstrB.exe

2009-11-21 19:30 . 2009-11-21 19:24        --------        d-----w-        c:\programme\NCSoft

2009-11-21 18:57 . 2009-07-06 19:46        --------        d-----w-        c:\programme\Pando Networks

2009-11-21 00:49 . 2009-11-21 00:49        0        ---ha-w-        c:\windows\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf

2009-11-20 23:41 . 2009-01-07 15:50        75064        ----a-w-        c:\windows\system32\PnkBstrA.exe

2009-11-17 21:03 . 2007-12-11 15:55        413696        ----a-w-        c:\windows\system32\wrap_oal.dll

2009-11-17 21:03 . 2007-12-11 15:55        110592        ----a-w-        c:\windows\system32\OpenAL32.dll

2009-11-07 12:54 . 2009-06-20 17:04        107888        ----a-w-        c:\windows\system32\CmdLineExt.dll

2009-11-06 02:14 . 2009-11-06 02:14        41872        ----a-w-        c:\windows\system32\xfcodec.dll

2009-11-04 16:17 . 2008-10-23 19:14        --------        d-----w-        c:\programme\Java

2009-11-04 16:16 . 2009-11-04 16:16        152576        ----a-w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll

2009-11-02 20:28 . 2009-10-09 21:16        --------        d-----w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Teeworlds

2009-10-29 07:40 . 2002-08-29 01:43        916480        ----a-w-        c:\windows\system32\wininet.dll

2009-10-21 05:38 . 2007-02-24 07:32        25088        ----a-w-        c:\windows\system32\httpapi.dll

2009-10-21 05:38 . 2007-02-24 07:32        75776        ----a-w-        c:\windows\system32\strmfilt.dll

2009-10-20 16:20 . 2007-02-24 07:32        265728        ------w-        c:\windows\system32\drivers\http.sys

2009-10-15 13:01 . 2009-10-15 13:01        10134        ----a-r-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Microsoft\Installer\{3101CB58-3482-4D21-AF1A-7057FC935355}\ARPPRODUCTICON.exe

2009-10-13 10:32 . 2002-08-29 01:43        271360        ----a-w-        c:\windows\system32\oakley.dll

2009-10-13 02:22 . 2009-02-03 10:42        43520        ----a-w-        c:\windows\system32\CmdLineExt03.dll

2009-10-12 13:38 . 2002-08-29 01:43        79872        ----a-w-        c:\windows\system32\raschap.dll

2009-10-12 13:38 . 2002-08-29 01:43        150528        ----a-w-        c:\windows\system32\rastls.dll

2009-10-11 03:17 . 2008-10-23 19:14        411368        ----a-w-        c:\windows\system32\deploytk.dll

2009-10-06 19:40 . 2007-02-24 09:07        74464        ----a-w-        c:\dokumente und einstellungen\Bjarne\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-10-05 13:37 . 2007-02-24 14:25        1324        ----a-w-        c:\windows\system32\d3d9caps.dat

2009-09-27 16:19 . 2009-09-27 16:19        3674112        ----a-w-        c:\windows\system32\nvwssr.dll

2009-09-27 14:12 . 2009-09-27 14:12        888832        ----a-w-        c:\windows\system32\nvapi.dll

2009-09-27 14:12 . 2009-09-27 14:12        2194024        ----a-w-        c:\windows\system32\nvcuvid.dll

2009-09-27 14:12 . 2009-09-27 14:12        2007040        ----a-w-        c:\windows\system32\nvcuda.dll

2009-09-27 14:12 . 2009-09-27 14:12        1714792        ----a-w-        c:\windows\system32\nvcuvenc.dll

2009-09-27 14:12 . 2009-09-27 14:12        170600        ----a-w-        c:\windows\system32\nvcodins.dll

2009-09-27 14:12 . 2009-09-27 14:12        170600        ----a-w-        c:\windows\system32\nvcod.dll

2009-09-27 14:12 . 2009-09-27 14:12        1604482        ----a-w-        c:\windows\system32\nvdata.bin

2009-09-27 14:12 . 2009-09-27 14:12        10756096        ----a-w-        c:\windows\system32\nvoglnt.dll

2009-09-27 14:12 . 2007-02-24 07:32        7655872        ----a-w-        c:\windows\system32\drivers\nv4_mini.sys

2009-09-27 14:12 . 2007-02-24 07:32        5900416        ----a-w-        c:\windows\system32\nv4_disp.dll

2009-09-26 11:59 . 2009-09-26 11:59        152576        ----a-w-        c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll

2009-01-25 10:38 . 2009-01-25 10:38        24        --sh--w-        c:\windows\S62F46343.tmp

2006-05-03 10:06 . 2008-04-16 17:31        163328        --sh--r-        c:\windows\system32\flvDX.dll

2007-02-21 11:47 . 2008-04-16 17:31        31232        --sh--r-        c:\windows\system32\msfDX.dll

2007-12-17 13:43 . 2008-04-16 17:31        27648        --sh--w-        c:\windows\system32\Smab0.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-11-17 53341]

"TBPanel"="c:\programme\Vtune\TBPanel.exe" [2009-03-17 2158592]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-23 266497]

"RTHDCPL"="RTHDCPL.EXE" [2006-10-11 16267776]

"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384]

"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"SetRefresh"="c:\programme\COMPAQ\SetRefresh\\SetRefresh.exe" [2003-11-20 525824]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]

"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"P17Helper"="P17.dll" [2005-05-03 64512]

"CTSysVol"="c:\programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]

"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-12-14 221184]

"LogitechVideoRepair"="d:\programme\Logitech\Video\ISStart.exe" [2004-12-14 458752]

"LogitechVideoTray"="d:\programme\Logitech\Video\LogiTray.exe" [2004-12-14 217088]

"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]

"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-09-23 1657448]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\Bjarne\Startmen\Programme\Autostart\

SpeedFan.lnk - k:\programme\SpeedFan\speedfan.exe [2009-8-9 3986552]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Logitech SetPoint.lnk - k:\programme\Logitech\SetPoint\SetPoint.exe [2009-9-20 813584]

Microsoft Office.lnk - d:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2009-07-20 10:28        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages        REG_MULTI_SZ           msv1_0 nwprovau
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Namo APM-Manager.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Namo APM-Manager.lnk

backup=c:\windows\pss\Namo APM-Manager.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Bjarne^Startmenü^Programme^Autostart^Xfire.lnk]

path=c:\dokumente und einstellungen\Bjarne\Startmenü\Programme\Autostart\Xfire.lnk

backup=c:\windows\pss\Xfire.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]

2009-04-02 03:57        203928        ----a-w-        k:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2008-03-14 11:55        486856        ----a-w-        d:\programme\DAEMON Tools Lite\daemon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD9LanguageShortcut]

2008-10-13 18:41        50472        ------w-        e:\programme\CyberLink\PowerDVD9\PowerDVD9\Language\Language.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2009-01-05 15:18        413696        ----a-w-        d:\programme\QuickTime\QTTask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl9]

2009-02-16 07:55        87336        ------w-        e:\programme\CyberLink\PowerDVD9\PowerDVD9\PDVD9Serv.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2008-11-07 13:31        21633320        ----a-r-        c:\programme\Skype\Phone\Skype.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\Programme\\WS_FTP Pro\\wsftppro.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"d:\\Programme\\Xfire\\xfire.exe"=

"d:\\Programme\\Teeworld\\teeworlds-0.4.3-win32\\teeworlds_srv.exe"=

"d:\\Programme\\Namo\\WebEditor 2006\\bin\\WebEditor.exe"=

"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"d:\\Programme\\Namo\\WebBoard Trial\\Server\\MySQL\\bin\\mysqld.exe"=

"d:\\Programme\\Namo\\WebBoard Trial\\Server\\Apache\\Apache.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

"d:\\Programme\\Autodesk\\Backburner\\monitor.exe"=

"d:\\Programme\\Autodesk\\Backburner\\manager.exe"=

"d:\\Programme\\Autodesk\\Backburner\\server.exe"=

"e:\\Programme\\ICQ6.5\\ICQ.exe"=

"h:\\Programme\\Electronic Arts\\BattleForge\\Bootstrapper.exe"=

"h:\\Programme\\Electronic Arts\\BattleForge\\BattleForge.exe"=

"k:\\PSP\\UMD Dax Dumper\\umddaxdumper02\\PC\\nethostfs.exe"=

"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

"k:\\Programme\\Autodesk\\Maya8.5\\bin\\maya.exe"=

"k:\\Programme\\Sony\\Media Manager for PSP\\MediaManager.exe"=

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"h:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\Anno4.exe"=

"h:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=

"h:\\Programme\\Metin2_Germany\\metin2.bin"=

"k:\\Programme\\Java\\jdk1.6.0_02\\jre\\bin\\java.exe"=

"k:\\Programme\\Steam\\Steam.exe"=

"h:\\Programme\\Activision\\Modern Warfare 2\\iw4sp.exe"=

"h:\\ISOs\\Call of Duty 4\\iw3mp.exe"=

"k:\\Programme\\Steam\\SteamApps\\common\\left 4 dead 2 demo\\left4dead2.exe"=

"h:\\Riot Games\\League of Legends\\air\\LolClient.exe"=

"h:\\Riot Games\\League of Legends\\game\\League of Legends.exe"=

"h:\\Riot Games\\League of Legends\\lol.launcher.exe"=

"k:\\Programme\\Steam\\SteamApps\\common\\world of goo demo\\WorldOfGoo.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5353:TCP"= 5353:TCP:Adobe CSI CS4

"59064:TCP"= 59064:TCP:Pando Media Booster

"59064:UDP"= 59064:UDP:Pando Media Booster

"8370:TCP"= 8370:TCP:League of Legends Launcher

"8370:UDP"= 8370:UDP:League of Legends Launcher

"8372:TCP"= 8372:TCP:League of Legends Launcher

"8372:UDP"= 8372:UDP:League of Legends Launcher

"6933:TCP"= 6933:TCP:League of Legends Launcher

"6933:UDP"= 6933:UDP:League of Legends Launcher

"8393:TCP"= 8393:TCP:League of Legends Lobby

"8393:UDP"= 8393:UDP:League of Legends Lobby

"8390:TCP"= 8390:TCP:League of Legends Game Client

"8390:UDP"= 8390:UDP:League of Legends Game Client

"6965:TCP"= 6965:TCP:League of Legends Launcher

"6965:UDP"= 6965:UDP:League of Legends Launcher

"6945:TCP"= 6945:TCP:League of Legends Launcher

"6945:UDP"= 6945:UDP:League of Legends Launcher
 

R0 MFX;MFX; [x]

R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [20.09.2007 18:40 11904]

R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [01.07.2008 18:55 2368]

R3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [20.09.2007 18:40 207872]

R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\drivers\hcw88rc5.sys [20.09.2007 18:39 11776]

R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [20.09.2007 18:40 299776]

R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [20.09.2007 18:39 498176]

R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [20.09.2007 18:39 23552]

S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.01.2009 14:31 717296]

S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [24.01.2009 11:31 16512]

S3 CBPMp50;CBPMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\CBPMp50.sys --> c:\windows\system32\Drivers\CBPMp50.sys [?]

S3 CBPSp50;CBPSp50 NDIS Protocol Driver;c:\windows\system32\drivers\CBPSp50.sys [21.09.2008 16:11 27072]

S3 libusb0;LibUsb-Win32 - Kernel Driver 11/20/2005, 20051120;c:\windows\system32\drivers\libusb0.sys [03.02.2009 14:51 29184]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

S3 PsSdk41;PsSdk41;c:\windows\system32\drivers\pssdk41.sys [18.05.2008 18:56 36928]

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de

IE: E&xport to Microsoft Excel - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000

IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

IE: Namo SWF Catcher - c:\programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm

Trusted Zone: joomlaos.de\www

Trusted Zone: spieleforum.de\www

Trusted Zone: travian.at\www

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Mozilla\Firefox\Profiles\0qv2sfnl.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=

FF - prefs.js: browser.search.selectedEngine - YouTube

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=

FF - plugin: c:\dokumente und einstellungen\Bjarne\Lokale Einstellungen\Anwendungsdaten\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll

FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll

FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll

FF - plugin: k:\programme\Opera\program\plugins\npdsplay.dll

FF - plugin: k:\programme\Opera\program\plugins\npwmsdrm.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

URLSearchHooks-{EEE6C35D-6118-11DC-9C72-001320C79847} - c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

BHO-{EEE6C35C-6118-11DC-9C72-001320C79847} - c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

HKCU-Run-PlayNC Launcher - (no file)

MSConfigStartUp-CloneCDTray - d:\programme\SlySoft\CloneCD\CloneCDTray.exe

MSConfigStartUp-EA Core - d:\programme\Electronic Arts\EADM\Core.exe

MSConfigStartUp-ICQ - ~e:\programme\ICQ6.5\ICQ.exe

MSConfigStartUp-PhonostarTimer - e:\programme\phonostar\ps_timer.exe

MSConfigStartUp-ZangoOE - c:\programme\Zango\bin\10.3.84.0\OEAddOn.exe

MSConfigStartUp-ZangoSA - c:\programme\Zango\bin\10.3.84.0\ZangoSA.exe

AddRemove-cchost_is1 - c:\programme\cchost\unins000.exe

AddRemove-InstallShield_{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8} - c:\programme\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\Setup.exe

AddRemove-TmNationsForever_is1 - d:\programme\TmNationsForever\unins000.exe

AddRemove-TQVault_is1 - k:\dokumente und einstellungen\Bjarne\Eigene Dateien\My Games\Titan Quest\TQVault\unins000.exe

AddRemove-WiFiConnector - c:\programme\WiFiConnector\SoftAPUninst.exe

AddRemove-{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775} - c:\programme\InstallShield Installation Information\{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}\Setup.exe

AddRemove-{60DE4033-9503-48D1-A483-7846BD217CA9} - c:\programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe

AddRemove-{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8} - c:\programme\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\Setup.exe

AddRemove-{C05D8CDB-417D-4335-A38C-A0659EDFD6B8} - c:\programme\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\Sims3Setup.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-24 00:27

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 
 

c:\windows\system32\drivers\mfx.sys 51472 bytes executable

C:\SYZ_DAT
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 2
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-746137067-1935655697-682003330-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:41,4e,d6,dd,96,d0,cc,92,6d,30,33,e7,7e,ca,3d,76,bf,9f,6d,fb,b4,cc,d1,

   85,f5,f2,42,fb,fc,20,49,6a,fe,1d,fe,40,f5,81,e3,07,4c,95,8c,ff,f3,68,1b,88,\

"??"=hex:80,c6,b2,a4,dc,7b,7a,d8,df,d4,8b,91,32,a4,fd,d7
 

[HKEY_USERS\S-1-5-21-746137067-1935655697-682003330-1005\Software\SecuROM\License information*]

"datasecu"=hex:cc,6d,d5,b0,7c,5c,86,21,a6,20,7b,a4,4b,18,fb,ca,79,42,f9,df,0f,

   d1,66,4c,f4,b5,0a,f5,1d,7b,96,83,e2,7c,e3,10,5b,be,b3,3e,2d,43,5b,c3,71,e9,\

"rkeysecu"=hex:64,b6,bd,e1,3e,80,9e,c4,40,b4,90,83,87,8e,33,49
 

[HKEY_USERS\S-1-5-21-746137067-1935655697-682003330-1005\Software\Sony Creative Software\M*e*d*i*a* *M*a*n*a*g*e*r* *f*o*r* *P*S*P*"!\3.0]

"FRT"="xZa16ZFbaVfFIplXJZ434zra3hRAzCAaYnv7mMz65fRBxgxKKPKfow=="

"PLCK"="hf52xbsngIxkUy/5ISnjRlJifrCnF3sy"

"Percents"="0.002 0.0757 0.259 0.4974 0.7554 0.8987 0.9058 "

"Increment"=".004167"

"PHSH"=""

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(716)

c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll

c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

.

Zeit der Fertigstellung: 2009-12-24  00:30:09

ComboFix-quarantined-files.txt  2009-12-23 23:30
 

Vor Suchlauf: 4.464.521.216 Bytes frei

Nach Suchlauf: 4.669.599.744 Bytes frei
 

- - End Of File - - 22DB4ED3DC1A74C0B324A88EAA031D10

ist es normal dass der internet explorer wieder mein standartbrowser ist?

So, nun muss ich Dir mal auffe Finger kloppen (auch wenn Weihnachten ist)!!

Zitat:

H:\ISOs\Adobe_Photoshop_CS4_Extended_v11_German\Photoshop CS4 Anleitung\Keygen.exe

Du hast Dir den Schlamassel mit dme Keygen selbst eingebrockt und fahrlässig in Kauf genommen!

Außerdem, die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

:D:D:D:P
^^ ja ich weiß ^^
und nochmal danke für alles eght wieder alles super