Trojaner ?

BigM619 · 22.12.2007, 02:07

Habe den Verdacht, dass ich einen Trojaner auf meinen PC habe, da mein PC einige komische Sachen ausführt. Hab ein HJT-Logfile erstellt und wollte euch um eine Überprüfung bitten.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:59:34, on 22.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\RTHDCPL.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Dokumente und Einstellungen\Felix\Desktop\CryptLoad_1.0.4\CryptLoad.exe
C:\WINDOWS.0\system32\drwtsn32.exe
C:\WINDOWS.0\system32\drwtsn32.exe
C:\WINDOWS.0\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Felix\Desktop\Alles\abc123.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.schuelerprofile.de/startseite
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://einwahl.oleco.de/willkommen/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS.0\TEMP\E_S9C.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Breakfast] C:\Programme\UnregisteredNews\Breakfast\Alarm.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 7339 bytes

11Boy11 · 22.12.2007, 09:37

Hallo, und willkommen im Trojaner-Board!

Zitat:

C:\WINDOWS.0\System32\smss.exe

Seltsam! Normalerweise sitzt soetwas in C:\WINDOWS\System32 - ohne 0!

Bitte lasse folgende Programme durchlaufen, und poste die Berichte.

• eScan

• Combofix

~ Anleitung - Combofix

1) - Lade dir Combofix herunter

2) combofix.exe starten und bestätige die Abfrage mit 1 und drücke Enter

Achtung:

Combofix nimmt ein wenig Zeit in anspruch!
Bitte nichts während des Scans am Pc machen

Es kann auch sein, dass dein Computer zwischendurch mal herunterfährt!

• SmitfraudFix | download hier

~ Anleitung SmitfraudFix

- Öffne es und lass dein System durchsuchen - Option 1

- Im abgesicherten Modus Smitfraudfix mit Option 2 ausführen

- Berichte Posten

BigM619 · 25.12.2007, 20:00

Habe alles gemacht, was du gesagt hast und hier sind die Ergebnisse:

escan:

Hier habe ich die Datei bei Rapidshare hochgeladen, da sie zu groß war um es hier zu posten( eine txt-Datei von 22mb):

h**p://rapidshare.com/files/79017894/escan.txt.html

Tut mir leid, sollte dieser Link nicht erlaubt sein, aber die txt-Datei war einfach zu groß, um sie hier einzufügen und ich wusste nicht, ob ich einen Anhang machen darf.

combofix:

ComboFix 07-12-21.4 - Felix 2007-12-23 14:39:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1146 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Felix\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-23 bis 2007-12-23 ))))))))))))))))))))))))))))))
.

2007-12-22 11:28 . 2007-12-22 11:28 <DIR> d-------- C:\Programme\Sierra
2007-12-21 19:23 . 2007-12-21 21:46 <DIR> d-------- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Bioshock
2007-12-21 18:59 . 2007-12-21 18:59 <DIR> d-------- C:\Programme\2K Games
2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\NASA
2007-12-18 23:18 . 2007-12-18 23:18 <DIR> d-------- C:\Programme\NASA
2007-12-17 17:26 . 2007-12-17 17:26 311 --a------ C:\WINDOWS.0\game.ini
2007-12-17 17:12 . 2007-12-17 17:52 <DIR> d-------- C:\Programme\Activision
2007-12-16 12:12 . 2007-12-16 12:12 269,054 --a------ C:\AnalysisLog.sr0
2007-12-16 12:09 . 2007-12-16 12:09 <DIR> d-------- C:\WINDOWS.0\system32\ageia
2007-12-16 12:09 . 2007-12-16 12:09 <DIR> d-------- C:\Programme\AGEIA Technologies
2007-12-16 12:02 . 2007-12-16 12:02 <DIR> d-------- C:\Programme\Ubisoft
2007-12-15 13:47 . 2007-12-15 13:47 <DIR> d-------- C:\Programme\Electronic Arts
2007-12-15 13:15 . 2007-12-15 13:15 0 --a------ C:\WINDOWS.0\MusicMaker.INI
2007-12-15 00:20 . 2007-12-15 00:20 <DIR> dr-h----- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\SecuROM
2007-12-14 23:52 . 2007-12-14 23:52 101,376 --a------ C:\WINDOWS.0\system32\drivers\ACEDRV07.sys
2007-12-14 23:51 . 2007-12-14 23:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\MAGIX
2007-12-14 23:51 . 2003-04-18 16:29 44,544 --a------ C:\WINDOWS.0\system32\msxml4a.dll
2007-12-14 23:49 . 2001-05-16 17:54 309,616 --a------ C:\WINDOWS.0\system32\wmv8dmod.dll
2007-12-14 23:49 . 2001-03-26 04:41 245,760 --a------ C:\WINDOWS.0\system32\mp4sds32.ax
2007-12-14 23:34 . 2007-12-14 23:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2007-12-14 23:29 . 2007-12-15 13:20 <DIR> d-------- C:\WINDOWS.0\system32\MAGIX
2007-12-14 23:29 . 2007-12-15 13:21 <DIR> d-------- C:\MAGIX
2007-12-14 23:29 . 2002-09-21 00:33 1,089,536 --a------ C:\WINDOWS.0\system32\ROBOEX32.DLL
2007-12-14 23:29 . 2006-08-17 10:01 643,072 --a------ C:\WINDOWS.0\system32\mgxoschk.dll
2007-12-14 23:29 . 1998-10-15 17:28 85,504 --a------ C:\WINDOWS.0\system32\HtmlWH.dll
2007-12-14 23:29 . 1999-01-28 14:44 49,152 --a------ C:\WINDOWS.0\system32\INETWH32.dll
2007-12-14 23:29 . 2007-12-14 23:52 6,537 --a------ C:\WINDOWS.0\mgxoschk.ini
2007-12-14 23:27 . 2007-12-14 23:27 <DIR> d-------- C:\Programme\DAEMON Tools
2007-12-12 22:02 . 2007-12-12 22:02 <DIR> d-------- C:\Programme\Ordix
2007-12-12 21:36 . 2007-12-12 21:36 <DIR> d-------- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Wireshark
2007-12-12 21:35 . 2007-12-12 21:36 <DIR> d-------- C:\Programme\Wireshark
2007-12-12 21:26 . 2007-12-12 21:36 <DIR> d-------- C:\Programme\WinPcap
2007-12-12 20:54 . 2007-12-12 20:54 <DIR> d-------- C:\Programme\AVI MPEG RM WMV Splitter
2007-12-10 19:19 . 2007-12-10 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\EPSON
2007-12-10 16:55 . 2007-12-10 16:56 <DIR> d-------- C:\Programme\Steinberg
2007-12-10 16:54 . 2007-12-10 16:54 <DIR> d-------- C:\Programme\Syncrosoft
2007-12-10 16:54 . 2005-10-17 09:35 704,512 --a------ C:\WINDOWS.0\system32\SYNSOACC.dll
2007-12-10 16:54 . 2004-05-10 15:58 147,456 --a------ C:\WINDOWS.0\system32\SynsoLChk.dll
2007-12-10 16:54 . 2003-07-31 20:28 147,425 --a------ C:\WINDOWS.0\system32\SYNSOACC-Aide.chm
2007-12-10 16:54 . 2003-05-26 15:29 120,468 --a------ C:\WINDOWS.0\system32\SYNSOACC-Hilfe.chm
2007-12-10 16:54 . 2003-05-26 15:29 114,279 --a------ C:\WINDOWS.0\system32\SYNSOACC-Help.chm
2007-12-10 16:54 . 2002-11-25 08:36 45,056 --a------ C:\WINDOWS.0\system32\Synsopos.exe
2007-12-10 16:54 . 2005-05-09 20:08 33,792 --a------ C:\WINDOWS.0\system32\drivers\cledx.sys
2007-12-10 16:54 . 2002-11-25 05:46 16,896 --a------ C:\WINDOWS.0\system32\drivers\synasUSB.sys
2007-12-09 20:40 . 2007-12-09 20:40 <DIR> d-------- C:\Programme\PartyGaming
2007-12-09 15:31 . 2007-12-09 15:31 <DIR> d-------- C:\Half-Life
2007-12-09 15:16 . 2007-12-09 15:31 <DIR> d-------- C:\Programme\Half-Life
2007-12-08 23:43 . 2007-12-08 23:43 <DIR> d-------- C:\Programme\SkinBuilder
2007-12-08 23:43 . 2003-05-14 22:07 389,120 --a------ C:\WINDOWS.0\system32\actskn43.ocx
2007-12-08 21:11 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS.0\system32\kswdmcap.ax
2007-12-08 21:11 . 2004-08-04 00:58 91,136 --a--c--- C:\WINDOWS.0\system32\dllcache\kswdmcap.ax
2007-12-08 21:11 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS.0\system32\kstvtune.ax
2007-12-08 21:11 . 2004-08-04 00:58 61,952 --a--c--- C:\WINDOWS.0\system32\dllcache\kstvtune.ax
2007-12-08 21:11 . 2004-08-04 00:57 54,272 --a------ C:\WINDOWS.0\system32\vfwwdm32.dll
2007-12-08 21:11 . 2004-08-04 00:57 54,272 --a--c--- C:\WINDOWS.0\system32\dllcache\vfwwdm32.dll
2007-12-08 21:11 . 2004-08-04 00:58 43,008 --a------ C:\WINDOWS.0\system32\ksxbar.ax
2007-12-08 21:11 . 2004-08-04 00:58 43,008 --a--c--- C:\WINDOWS.0\system32\dllcache\ksxbar.ax
2007-12-08 21:11 . 2004-08-04 00:58 28,672 --a------ C:\WINDOWS.0\system32\vidcap.ax
2007-12-08 21:11 . 2004-08-04 00:58 28,672 --a--c--- C:\WINDOWS.0\system32\dllcache\vidcap.ax
2007-12-08 21:01 . 2007-12-08 21:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\PY_Software
2007-12-08 21:01 . 2002-08-29 12:00 446,464 --a------ C:\WINDOWS.0\system32\wmvdmoe.dll
2007-12-08 20:52 . 2007-12-08 20:58 <DIR> d-------- C:\Programme\webcamXP
2007-12-08 20:30 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS.0\system32\drivers\USBAUDIO.sys
2007-12-08 20:30 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS.0\system32\dllcache\usbaudio.sys
2007-12-08 18:40 . 2007-12-08 18:40 <DIR> d-------- C:\Programme\Alcohol Toolbar
2007-12-08 18:40 . 2007-12-08 18:40 <DIR> d-------- C:\Programme\Alcohol Soft
2007-12-08 18:40 . 2007-12-08 18:40 229,057 --a------ C:\WINDOWS.0\Alcohol_Toolbar_Uninstaller_6828.exe
2007-12-08 18:38 . 2007-12-08 18:38 685,816 --a------ C:\WINDOWS.0\system32\drivers\sptd.sys
2007-12-07 17:02 . 2007-12-07 17:02 <DIR> d-------- C:\Programme\VirtualDJ
2007-12-02 16:49 . 2007-12-02 16:49 <DIR> d-------- C:\Programme\UnregisteredNews
2007-12-01 17:03 . 2007-12-23 14:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Kaspersky Lab
2007-12-01 17:03 . 2007-12-23 14:44 9,890,080 --ahs---- C:\WINDOWS.0\system32\drivers\fidbox.dat
2007-12-01 17:03 . 2007-12-23 14:44 232,480 --ahs---- C:\WINDOWS.0\system32\drivers\fidbox2.dat
2007-12-01 17:03 . 2007-12-23 12:38 133,148 --ahs---- C:\WINDOWS.0\system32\drivers\fidbox.idx
2007-12-01 17:03 . 2007-12-20 18:42 91,492 --a------ C:\WINDOWS.0\system32\drivers\klin.dat
2007-12-01 17:03 . 2007-12-12 21:38 85,860 --a------ C:\WINDOWS.0\system32\drivers\klick.dat
2007-12-01 17:03 . 2007-12-23 12:38 22,628 --ahs---- C:\WINDOWS.0\system32\drivers\fidbox2.idx
2007-12-01 14:41 . 2007-12-01 17:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Spybot - Search & Destroy
2007-12-01 12:53 . 2007-12-01 16:00 815 --a------ C:\rollback.ini
2007-11-30 23:30 . 2007-11-30 23:34 <DIR> d-------- C:\Downloads
2007-11-30 14:09 . 2007-11-30 14:10 <DIR> d-------- C:\Programme\Poker
2007-11-25 14:22 . 2007-11-25 14:23 3,475 --a------ C:\ads_err.dbf
2007-11-24 21:33 . 2007-11-24 21:33 <DIR> d-------- C:\Programme\Alt WAV MP3 WMA OGG Converter
2007-11-24 21:33 . 2001-03-17 21:34 22,528 --a------ C:\WINDOWS.0\system32\WNASPI32.DLL
2007-11-24 21:33 . 2002-07-17 09:05 16,512 --a------ C:\WINDOWS.0\system32\drivers\ASPI32.SYS
2007-11-24 18:34 . 2007-12-09 14:44 <DIR> d-------- C:\Programme\Counter-Strike Source
2007-11-24 15:40 . 2007-11-24 15:40 <DIR> d-------- C:\Games
2007-11-24 12:38 . 2007-11-24 12:38 <DIR> d-------- C:\WINDOWS.0\system32\LogFiles
2007-11-24 12:38 . 2007-11-24 12:39 <DIR> d-------- C:\WINDOWS.0\system32\drivers\UMDF
2007-11-24 11:28 . 2007-11-24 11:31 <DIR> d-------- C:\Programme\Counter-Strike 1.6
2007-11-24 01:23 . 2007-12-01 17:23 <DIR> d-------- C:\Programme\gulli load
2007-11-23 20:25 . 2007-12-23 14:32 69 --a------ C:\WINDOWS.0\NeroDigital.ini
2007-11-23 19:59 . 2007-11-23 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Nero
2007-11-23 19:56 . 2007-11-23 19:56 <DIR> d-------- C:\Programme\Nero
2007-11-23 19:56 . 2007-11-23 19:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2007-11-23 19:56 . 2007-11-23 19:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Nero
2007-11-23 18:52 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS.0\system32\mucltui.dll
2007-11-23 18:52 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS.0\system32\muweb.dll
2007-11-23 18:52 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS.0\system32\mucltui.dll.mui
2007-11-23 18:47 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS.0\system32\msonpmon.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-22 10:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-21 18:19 --------- d-----w C:\Programme\ICQToolbar
2007-12-11 18:26 --------- d-----w C:\Programme\ICQLite
2007-12-01 12:37 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Avira
2007-12-01 11:56 --------- d-----w C:\Programme\GameSpy Arcade
2007-11-24 11:40 --------- d-----w C:\Programme\Windows Media Connect 2
2007-11-24 00:05 --------- d-----w C:\Programme\ANNO1602
2007-11-22 15:25 --------- d-----w C:\Programme\Oleco
2007-11-19 16:56 107,888 ----a-w C:\WINDOWS.0\system32\CmdLineExt.dll
2007-11-19 16:51 --------- d-----w C:\Programme\Sierra Entertainment
2007-11-16 15:24 43,520 ----a-w C:\WINDOWS.0\system32\CmdLineExt03.dll
2007-11-14 15:47 --------- d-----w C:\Programme\UIU
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS.0\system32\drivers\secdrv.sys
2007-11-11 18:33 --------- d-----w C:\Programme\Ulead COOL 3D
2007-11-11 18:31 --------- d-----w C:\Programme\Ulead iPhoto Express
2007-11-11 18:29 --------- d-----w C:\Programme\Sierra On-Line
2007-11-08 17:14 --------- d-----w C:\Programme\Yod M3D
2007-11-08 17:13 --------- d-----w C:\Programme\encyclopodia-setup-0.9.1
2007-10-31 20:52 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\AdobeUM
2007-10-30 17:16 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\UDL
2007-10-30 17:13 --------- d-----w C:\Programme\EPSON
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS.0\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS.0\system32\wmasf.dll
2007-10-24 17:45 --------- d-----w C:\Programme\Winamp
2007-10-23 19:41 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Media Player Classic
2007-10-23 10:33 --------- d-----w C:\Programme\Realtek
2007-10-23 10:22 315,392 ----a-w C:\WINDOWS.0\HideWin.exe
2007-10-23 10:16 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\ATI
2007-10-23 10:16 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\ATI
2007-10-23 09:06 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\InstallShield
2007-10-12 20:46 53,248 ----a-w C:\WINDOWS.0\system32\unrar.dll
2007-10-10 15:16 499,712 ----a-w C:\WINDOWS.0\system32\msvcp71.dll
2007-10-10 15:16 434,252 ----a-w C:\WINDOWS.0\system32\MSVCRTD.DLL
2007-10-10 15:16 348,160 ----a-w C:\WINDOWS.0\system32\msvcr71.dll
2007-10-10 15:16 216,576 ----a-w C:\WINDOWS.0\system32\monln.dll
2007-10-10 15:16 1,060,864 ----a-w C:\WINDOWS.0\system32\MFC71.dll
2007-10-10 13:13 737,280 ----a-w C:\WINDOWS.0\iun6002.exe
2006-03-16 17:31 32,249 ----a-w C:\Programme\encyclopodia.jpg
2006-03-07 10:16 10,707,864 ----a-w C:\Programme\encyclopodia-setup-0.9.1.zip
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS.0\system32\ctfmon.exe" [2006-07-17 01:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 15:35]
"Breakfast"="C:\Programme\UnregisteredNews\Breakfast\Alarm.exe" []
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 11:27]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-03 23:29]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 20:05]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 11:08 C:\WINDOWS.0\RTHDCPL.exe]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-03-10 18:45]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" [2007-03-09 20:50]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 00:00]
"AGEIA PhysX SysTray"="C:\Programme\AGEIA Technologies\TrayIcon.exe" [2006-03-20 20:43]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS.0\system32\CTFMON.EXE" [2006-07-17 01:00]

C:\Dokumente und Einstellungen\Felix\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54]

R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3;C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe [2007-09-20 09:51]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS.0\system32\DRIVERS\cledx.sys [2005-05-09 20:08]
R3 RTLWUSB;802.11g USB2.0 WLAN Dongle;C:\WINDOWS.0\system32\DRIVERS\RTL8187.sys [2006-04-12 07:43]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS.0\System32\DRIVERS\ASPI32.sys [2002-07-17 09:05]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 15:18]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS.0\system32\drivers\npf.sys [2007-06-29 01:01]
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2007-12-23 14:44:50
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-23 14:46:21
.
2007-12-22 02:01:31 --- E O F ---

SmitfraudFix Option 1 :

SmitFraudFix v2.274

Scan done at 17:45:55,85, 23.12.2007
Run from C:\Dokumente und Einstellungen\Felix\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\RTHDCPL.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS.0\explorer.exe
C:\DOKUME~1\Felix\LOKALE~1\Temp\mexe.com
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS.0\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.0

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.0\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.0\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.0\system32

C:\WINDOWS.0\system32\systems.txt FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.0\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Felix

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Felix\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Felix\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 802.11g USB2.0 WLAN Dongle - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4198F309-8B1A-4233-AEF8-68062B48E2A2}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4198F309-8B1A-4233-AEF8-68062B48E2A2}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4198F309-8B1A-4233-AEF8-68062B48E2A2}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

SmitfraudFix Option 2

SmitFraudFix v2.274

Scan done at 17:14:45,04, 25.12.2007
Run from C:\Dokumente und Einstellungen\Felix\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\WINDOWS.0\system32\Delete_Me_Dummy_systems.txt

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 802.11g USB2.0 WLAN Dongle - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4198F309-8B1A-4233-AEF8-68062B48E2A2}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4198F309-8B1A-4233-AEF8-68062B48E2A2}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4198F309-8B1A-4233-AEF8-68062B48E2A2}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Reboot

Problem while deleting C:\WINDOWS.0\system32\Delete_Me_Dummy_systems.txt

»»»»»»»»»»»»»»»»»»»»»»»» End

Trojaner ?

Log-Analyse und Auswertung: Trojaner ?

Trojaner ?

Trojaner ?

Trojaner ?