hi leute!!!

könnte das mal einer checken???

Logfile of HijackThis v1.99.1
Scan saved at 20:42:11, on 03.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Beschreibe dein Problem sonst landet dein Post in der Mülltonne!

Forenregeln bitte beachten!

PS: log sieht sauber aus.

Gruß

Undoreal

Zitat:

Zitat von undoreal

Beschreibe dein Problem sonst landet dein Post in der Mülltonne!

Forenregeln bitte beachten!

PS: log sieht sauber aus.

Gruß

Undoreal

hi!

sorry .. also mein internet trennt sich dauernd!

und ich habe gedacht vielleicht habe ich nen virus oder so etwas drauf!

aber wenn es sauber is muss ich den fehler wohl woanders suchen!!!

trotzdem vielen dank!!

Zitat:

Zitat von sort23

hi!

sorry .. also mein internet trennt sich dauernd!

und ich habe gedacht vielleicht habe ich nen virus oder so etwas drauf!

aber wenn es sauber is muss ich den fehler wohl woanders suchen!!!

trotzdem vielen dank!!

"Sauberes logfile" nicht gleichbedeutend mit sauberem System! Mach zur Sicherheit einen escan

http://www.trojaner-board.de/38066-e...ightymarc.html

Aloha

Zitat:

Zitat von felixx65

"Sauberes logfile" nicht gleichbedeutend mit sauberem System! Mach zur Sicherheit einen escan

http://www.trojaner-board.de/38066-e...ightymarc.html

Aloha

hi!

also ich habe den scan gemacht!

und er sagt mir nach ner kurzen zeit..

spyware/adware entdeckt ..und das ich die vollversion brauche!!!

aber der scan läuft weiter

mfg dennis

Lass ihn mal ruhig durchlaufen Poste die Funde wie in der Anleitung beschrieben.
Sollte sich herausstellen, dass das System kompromittiert ist, hilft übrigens auch die Vollversion nicht mehr viel weiter...

Zitat:

Zitat von cosinus

Lass ihn mal ruhig durchlaufen Poste die Funde wie in der Anleitung beschrieben.
Sollte sich herausstellen, dass das System kompromittiert ist, hilft übrigens auch die Vollversion nicht mehr viel weiter...

so fertig! und wo finde ich jetzt diese find.zip datei?

FIND.BAT - Direktdownload
Rechtsklicken, Ziel speichern unter...
Speicher die am besten aufm Desktop und führ die aus. Steht aber auch alles in der Anleitung.

so nun hab ichs kapiert!!

hier is das was ich kopieren sollte!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "downloadware Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "downloadware Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with zlob.goldcodec Trojan ({96ebbe6a-2864-4345-b32b-26ee9be524b5})! Action taken: Keine Aktion vorgenommen.
System found infected with toolbar888 Browser Hijacker (activate.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with conducent flexpak Spyware/Adware (empty.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with direct advertiser Spyware/Adware (ginstall.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with direct advertiser Spyware/Adware (ginstall.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with rohbot Worm (C:\WINDOWS\system32\pslist.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob.goldcodec Trojan ({96ebbe6a-2864-4345-b32b-26ee9be524b5})! Action taken: Keine Aktion vorgenommen.
System found infected with toolbar888 Browser Hijacker (activate.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with conducent flexpak Spyware/Adware (empty.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with direct advertiser Spyware/Adware (ginstall.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with direct advertiser Spyware/Adware (ginstall.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with rohbot Worm (C:\WINDOWS\system32\pslist.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Programme\B5APPZ\0017\setup2.exe/ISOComm.exe infiziert von "Packed.Win32.PePatch.dk" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\B5APPZ\0061\CrackSearcher.exe//ASPack infiziert von "HackTool.Win32.CrackSearch.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Programme\B5APPZ\0004\0004.exe/BulletProof.FTP.Server.v2.30.15.WinAll.Cracked\G6FTPSrv.exe//VGCrypt//VGCrypt//ASPack markiert als not-a-virus:Server-FTP.Win32.BulletProof.230. Keine Aktion vorgenommen.
Datei C:\Programme\B5APPZ\0048\setup.exe//mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.612. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\activate.exe
Offending file found: C:\WINDOWS\system32\empty.exe
Offending file found: C:\WINDOWS\system32\instsrv.exe
Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ginstall.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\ginstall.dll
Offending file found: C:\WINDOWS\system32\pslist.exe
Offending file found: C:\WINDOWS\system32\activate.exe
Offending file found: C:\WINDOWS\system32\empty.exe
Offending file found: C:\WINDOWS\system32\instsrv.exe
Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ginstall.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\ginstall.dll
Offending file found: C:\WINDOWS\system32\pslist.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\microgaming !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e07c2756-5a34-11db-9fcf-806d6172696f} !!!
Offending Key found: HKCU\Software\microgaming !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e07c2756-5a34-11db-9fcf-806d6172696f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {e07c2756-5a34-11db-9fcf-806d6172696f}\Name\Shell\AutoRun\command: G:\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\system32\wins.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\NeroDemo11235\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\NeroDemo11235\Cab\4E08C89A.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\system32\wins.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\NeroDemo11235\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\NeroDemo11235\Cab\4E08C89A.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\NeroDemo11235\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\NeroDemo11235\Cab\4E08C89A.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\system32\wins.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 29382
Gescannte Dateien: 124154
Gefundene Viren: 9
Gefundene Viren: 13
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 136
Anzahl Fehler: 164
Dauer des Scans bisher: 00:07:16
Dauer des Scans bisher: 01:31:13
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:25:02,45
Batchende: 16:25:16,21

Hallo und im Trojaner Board!



Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\pslist.exe
C:\WINDOWS\system32\wins.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Gruß
Sunny

"Administrator" - 2007-07-04 17:15:10 - ComboFix 07-07-04.4 - Service Pack 2


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\regedit.com
C:\WINDOWS\system32\instsrv.exe
C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((( Files Created from 2007-06-04 to 2007-07-04 )))))))))))))))))))))))))))))))


2007-07-04 17:14 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-04 16:25 <DIR> d-------- C:\bases_x
2007-07-03 21:34 <DIR> d-------- C:\WINDOWS\CSC
2007-07-03 21:25 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-07-03 21:25 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-07-03 21:25 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-07-03 21:25 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-07-03 21:25 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-07-03 21:25 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-07-03 21:24 153,600 --a------ C:\WINDOWS\R.COM
2007-07-03 21:24 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-07-01 15:22 <DIR> d-------- C:\hjngnmgfmf
2007-06-28 18:31 <DIR> d-------- C:\Neuer Ordner
2007-06-24 22:05 <DIR> d-------- C:\Programme\THQ
2007-06-20 18:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-06-17 20:59 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-06-17 20:59 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-06-17 20:59 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2007-06-17 20:59 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2007-06-17 20:59 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-06-17 20:59 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2007-06-17 17:49 <DIR> d-------- C:\Programme\Full Tilt Poker.Net
2007-06-15 16:06 <DIR> d-------- C:\Neuer Ordner4236
2007-06-06 16:26 <DIR> d-------- C:\Programme\TopDesk Trial
2007-06-06 16:24 <DIR> d-------- C:\Programme\Thoosje Vista Sidebar v1.7.8
2007-06-06 15:56 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Playwize
2007-06-06 15:50 <DIR> d-------- C:\Programme\Playwize
2007-06-06 15:49 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Pokerwize
2007-06-06 15:49 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\InstallShield


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-03 18:41:59 -------- d-----w C:\Programme\hijackthis_199
2007-07-03 18:38:05 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Skype
2007-07-03 18:17:25 -------- d-----w C:\Programme\Electronic Arts
2007-07-03 14:55:55 -------- d-----w C:\Programme\PokerStars
2007-07-02 14:26:43 -------- d-----w C:\Programme\ICQToolbar
2007-06-27 16:34:37 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Hamachi
2007-06-27 16:25:01 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-06-17 15:49:17 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-15 12:35:49 -------- d-----w C:\Programme\PokerStars.NET
2007-06-03 21:32:52 -------- d-----w C:\Programme\mIRC
2007-06-03 15:10:17 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Nokia
2007-06-03 15:10:16 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Datalayer
2007-06-03 15:08:39 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Nokia Multimedia Player
2007-06-03 15:05:25 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\PC Suite
2007-06-03 15:04:43 -------- d-----w C:\Programme\Gemeinsame Dateien\PCSuite
2007-06-03 15:04:42 -------- d-----w C:\Programme\Nokia
2007-06-03 15:04:41 -------- d-----w C:\Programme\Gemeinsame Dateien\Nokia
2007-05-16 01:14:04 -------- d-----w C:\Programme\KnuddelsBot
2007-05-05 15:41:23 -------- d-----w C:\Programme\Fiat
2007-04-11 19:39:02 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D}]
2006-10-10 11:18 701952 --a------ C:\Programme\ICQToolbar\toolbaru.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2003-11-03 14:17 54248 --a------ C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2004-05-12 01:03 744960 --a------ C:\Programme\Spybot - Search & Destroy\SDHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-06-18 10:31 C:\WINDOWS\SOUNDMAN.EXE]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 17:05]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-13 11:09]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-11-17 14:02]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 16:34]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe" [2004-11-25 12:59]
"DataLayer"="C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-12-09 12:14]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2004-11-24 12:29]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsMenu"=0 (0x0)
"ForceClassicControlPanel"=1 (0x1)
"NoSMBalloonTip"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot


**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-04 17:16:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-04 17:16:47
C:\ComboFix-quarantined-files.txt ... 2007-07-04 17:16

--- E O F ---

Complete scanning result of "pslist.exe", received in VirusTotal at 07.04.2007, 17:55:05 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.5.0 07.04.2007 no virus found
AntiVir 7.4.0.37 07.04.2007 no virus found
Authentium 4.93.8 07.03.2007 no virus found
Avast 4.7.997.0 07.04.2007 no virus found
AVG 7.5.0.476 07.04.2007 no virus found
BitDefender 7.2 07.04.2007 no virus found
CAT-QuickHeal 9.00 07.04.2007 no virus found
ClamAV devel-20070416 07.04.2007 no virus found
DrWeb 4.33 07.04.2007 no virus found
eSafe 7.0.15.0 07.04.2007 no virus found
eTrust-Vet 30.8.3762 07.04.2007 no virus found
Ewido 4.0 07.04.2007 no virus found
FileAdvisor 1 07.04.2007 no virus found
Fortinet 2.91.0.0 07.03.2007 no virus found
F-Prot 4.3.2.48 07.03.2007 no virus found
F-Secure 6.70.13030.0 07.04.2007 no virus found
Ikarus T3.1.1.8 07.04.2007 no virus found
Kaspersky 4.0.2.24 07.04.2007 no virus found
McAfee 5066 07.03.2007 no virus found
Microsoft 1.2701 07.04.2007 no virus found
NOD32v2 2378 07.04.2007 no virus found
Norman 5.80.02 07.04.2007 no virus found
Panda 9.0.0.4 07.04.2007 no virus found
Sophos 4.19.0 06.28.2007 no virus found
Sunbelt 2.2.907.0 07.04.2007 no virus found
Symantec 10 07.04.2007 no virus found
TheHacker 6.1.6.142 07.04.2007 no virus found
VBA32 3.12.0.2 07.03.2007 no virus found
VirusBuster 4.3.23:9 07.04.2007 no virus found
Webwasher-Gateway 6.0.1 07.04.2007 no virus found

Aditional Information
File size: 86016 bytes
MD5: 1fd684490fc5994c1f6615f70f9fb1f8
SHA1: b0746af5a6d56417894bd300008138d9f122e0ab


Complete scanning result of "wins.dll", received in VirusTotal at 07.04.2007, 17:30:11 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.4.0 07.04.2007 no virus found
AntiVir 7.4.0.37 07.04.2007 no virus found
Authentium 4.93.8 07.03.2007 no virus found
Avast 4.7.997.0 07.04.2007 no virus found
AVG 7.5.0.476 07.04.2007 no virus found
BitDefender 7.2 07.04.2007 no virus found
CAT-QuickHeal 9.00 07.04.2007 no virus found
ClamAV devel-20070416 07.04.2007 no virus found
DrWeb 4.33 07.04.2007 no virus found
eSafe 7.0.15.0 07.04.2007 no virus found
eTrust-Vet 30.8.3762 07.04.2007 no virus found
Ewido 4.0 07.04.2007 no virus found
FileAdvisor 1 07.04.2007 no virus found
Fortinet 2.91.0.0 07.03.2007 no virus found
F-Prot 4.3.2.48 07.03.2007 no virus found
F-Secure 6.70.13030.0 07.04.2007 no virus found
Ikarus T3.1.1.8 07.04.2007 no virus found
Kaspersky 4.0.2.24 07.04.2007 no virus found
McAfee 5066 07.03.2007 no virus found
Microsoft 1.2701 07.04.2007 no virus found
NOD32v2 2378 07.04.2007 no virus found
Norman 5.80.02 07.04.2007 no virus found
Panda 9.0.0.4 07.04.2007 no virus found
Sophos 4.19.0 06.28.2007 no virus found
Sunbelt 2.2.907.0 07.04.2007 no virus found
Symantec 10 07.04.2007 no virus found
TheHacker 6.1.6.142 07.04.2007 no virus found
VBA32 3.12.0.2 07.03.2007 no virus found
VirusBuster 4.3.23:9 07.04.2007 no virus found
Webwasher-Gateway 6.0.1 07.04.2007 no virus found

Aditional Information
File size: 30152 bytes
MD5: beb1b5fa3c07725ab3d4df563f65bed6
SHA1: a8453b5d9923b9ccd04c2d358fe3952295bac4cc

so nun habe ich glaub ich alles gepostet! könnt ihr damit was anfangen?

Zitat:

Zitat von sort23

so nun habe ich glaub ich alles gepostet! könnt ihr damit was anfangen?

oder is das jetzt alles sauber?

Da sind noch ein paar merkwürdige Dateien z.B.

BulletProof.FTP.Server.v2.30.15.WinAll.Cracked
CrackSearcher.exe

Allgemein der Ordner C:\Programme\B5APPZ\ macht keinen guten Eindruck, hast du vllt. ne Idee wo der herkommt?