Hallo liebes Trojaner Board!
Habe ein kleines Problem mit einem Trojaner denke ich mal, bin beim downloaden leider so nachsichtig gewesen und habe mir das angebliche DL-Programm "NET PUMPER" gezogen was aber laut Google Suche ein fieser Trojaner ist.
Habe vor ein paar Tagen hier im Forum schon mal einen Thread gelesen von einem jungen Mann der dasselbe Problem hatte.

Hoffe ihr könnt mir da weiterhelfen!

So ich lade jetzt mal meine HiJack This Logfile hoch und hoffe es ist alles richtig:


*****************************************************
*****************************************************
Logfile of HijackThis v1.99.1
Scan saved at 17:27:45, on 10.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\WINDOWS\ATKKBService.exe
E:\Programme\FRITZ!DSL\IGDCTRL.EXE
E:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Spyware Doctor\pctsAuxs.exe
E:\Programme\Spyware Doctor\pctsSvc.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\wdfmgr.exe
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Spyware Doctor\pctsTray.exe
E:\WINDOWS\system32\WgaTray.exe
E:\Programme\ASUS\Ai Booster\OverClk.exe
E:\WINDOWS\Logi_MwX.Exe
E:\Programme\Saitek\Software\Profiler.exe
E:\Programme\Saitek\Software\SaiSmart.exe
E:\Programme\Saitek\Software\SaiMfd.exe
E:\Programme\Java\jre1.6.0_03\bin\jusched.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\ICQ6\ICQ.exe
E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Programme\Steam\Steam.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
E:\Programme\Windows NT\Zubehör\wordpad.exe
E:\Dokumente und Einstellungen\***\Desktop\System Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NVIDIA nTune] "E:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [Launch Ai Booster] "E:\Programme\ASUS\Ai Booster\OverClk.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Profiler] E:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] E:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [SaiMfd] E:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISTray] "E:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SPAM DEFY] E:\DOKUME~1\***\ANWEND~1\FACEFA~1\REGSMEMO.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153072889375
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - E:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - E:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - E:\WINDOWS\ATKKBService.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - E:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Programme\Spyware Doctor\pctsSvc.exe
*****************************************************
*****************************************************

Denke mal ihr könnt damit mehr anfangen als ich :P
BTW: Bin nich so der Computer Pro, also die Erklärungen zur Fehlerbeseitigung bitte etwas ausführlicher für Noobies wenns recht is...

Thx, greetz Ferrum

Wow also ich denke das ist hier ein Forum zur Fehlerhilfe für Leute die sich nich immer selbst aus der Patsche ziehen können.

Aber ich habe wirklich verdammte scheiß probleme mit dem Trojaner!!! Also wäre es nett wenn sich jmd erbarmen könnte und mir eventuell helfen... :aplaus:

Ich warte solange...

Hallo

Zitat:

Wow also ich denke das ist hier ein Forum zur Fehlerhilfe für Leute die sich nich immer selbst aus der Patsche ziehen können.

stimmt und das auf freiwilliger Basis in unserer Freizeit
Es kann schon mal passieren, dass ein Beitrag durchrutscht, da hilft meist ein "push".


Mach zuerst bitte alle versteckten Dateien und Ordner sichtbar.
Dann arbeite diese Anleitung ab
http://www.trojaner-board.de/28388-a...ntfernung.html
relevanter Eintrag für dich ist

Zitat:

O4 - HKCU\..\Run: [SPAM DEFY] E:\DOKUME~1\***\ANWEND~1\FACEFA~1\REGSMEMO.exe

erstelle nach der Bereinigung ein frisches HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe.

MFG

Okay Habe alles so ausgeführt wie es da stand...
Erstmal danke das ihr mir sone gute Hilfestellung mit Anleitung gebt!!!
JEtzt zu meinen Problemen:

--------------->
--------------->

1. als ich mich im abgesicherten Modus befand, habe ich die Datei "FACEFA" gelöscht, also den kompletten Ordner!
Als ich dann jedoch mit HijackThis gescannt habe fand ich keinerlei Eintrag mehr von wegen "E:\Dok.u.Einstell.\*****\Amwend.\FACEFA~"

Tut mir Leid aber habe das gesamte Logfile durchgescrollt - nichts zu finden!
Habe es sogar abgespeichert, werde es anhängen! =)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

2. Eine sogenannte ".job"-Datei mit zusammengewürfeltem Namen aus 16 Zahlen/Buchstaben bestehend, fand ich im Ordner "C:\Windows\tasks\" leider ebenso nicht...

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

3. Nachdem ich meine temporären Dateien gelöscht habe und auch die systemwiederherstellung deaktiviert, habe ich nun im NORMALEN (nicht abgesicherten!!!) Modus mein Windows XP neu gestartet.

--> Sys. Wdhstellung wieder aktiviert und dann mit dem "Panda-Onlinescanner" im Microsoft Internet Expl. scannen lassen wollen, nachdem ich ein Active X STeuerelement installiert hab, kam allerdings nach der Installation und während des scans eine Warnung von Antivir darüber das eine Datei die von dieser Panda-Seite kopiert werden sollte befallen ist. Irgendein Virus oder so...


--> Hijackthis als "ABC.exe" durchscannen lassen, und er hat die folgende Datei wieder gefunden: "O4 - HKCU\..\Run: [SPAM DEFY] E:\DOKUME~1\***\ANWEND~1\FACEFA~1\REGSMEMO.exe"

Ich weiß nicht was ich jetzt noch machen sollte, S.O.S. please help me!!!

Hallo

Zitat:

nachdem ich ein Active X STeuerelement installiert hab, kam allerdings nach der Installation und während des scans eine Warnung von Antivir darüber das eine Datei die von dieser Panda-Seite kopiert werden sollte befallen ist. Irgendein Virus oder so...

die Meldung lautete "Blumblee blablabla" richtig?
Ich hatte vergessen dich über eine eventuelle Falschmeldung zu informieren, kann leider vorkommen

Zitat:

Hijackthis als "ABC.exe" durchscannen lassen, und er hat die folgende Datei wieder gefunden

OK dann anders...

Lass bitte Combofix über dein System laufen
ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
-Der Durchlauf kann einige Zeit dauern
-Während des Durchlaufes nichts am Rechner machen und halte alle anderen Programme geschlossen
-kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

MFG

Hallo! habe auch combofix scannen lassen!
Habe leider schon im Vorfeld entdeckt das die Datei "REGSMEMO.exe" und "FACEFA" leider trotzdem gefunden wurden...
Hier das Ergebnis-Logfile:

ComboFix 08-03-14.4 - *** 2008-03-17 21:04:45.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.682 [GMT 1:00]
ausgeführt von:: E:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\Programme\myglobalsearch
E:\Programme\myglobalsearch\bar\History\search

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 ))))))))))))))))))))))))))))))
.

2008-03-15 16:07 . 2008-03-15 16:08 <DIR> d-------- E:\WINDOWS\system32\ActiveScan
2008-03-15 16:07 . 2008-03-15 16:07 30,590 --a------ E:\WINDOWS\system32\pavas.ico
2008-03-15 16:07 . 2008-03-15 16:07 1,406 --a------ E:\WINDOWS\system32\Help.ico
2008-03-05 18:33 . 2008-03-05 18:35 <DIR> d-------- E:\WINDOWS\Internet Logs
2008-03-05 18:33 . 2008-03-05 18:33 <DIR> d-------- E:\Programme\Zone Labs
2008-03-05 17:14 . 2008-03-05 17:34 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-05 17:14 . 2008-03-05 17:14 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp
2008-03-05 16:35 . 2006-05-16 18:52 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-05 16:35 . 2006-05-16 19:47 <DIR> dr------- E:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-05 16:35 . 2006-05-16 19:47 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-05 16:35 . 2008-03-05 17:35 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-05 16:35 . 2006-05-16 19:47 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-05 16:35 . 2006-05-16 19:47 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-05 16:35 . 2008-03-05 17:47 <DIR> dr-h----- E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-05 16:30 . 2008-03-05 16:30 2,560 --a------ E:\WINDOWS\_MSRSTRT.EXE
2008-03-05 15:49 . 2008-03-17 20:38 <DIR> d-a------ E:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-03-05 15:48 . 2008-03-17 14:11 <DIR> d-------- E:\Programme\Spyware Doctor
2008-03-05 15:48 . 2008-03-05 15:48 <DIR> d-------- E:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Tools
2008-03-05 15:48 . 2007-12-10 14:53 81,288 --a------ E:\WINDOWS\system32\drivers\iksyssec.sys
2008-03-05 15:48 . 2007-12-10 14:53 66,952 --a------ E:\WINDOWS\system32\drivers\iksysflt.sys
2008-03-05 15:48 . 2008-02-01 12:55 42,376 --a------ E:\WINDOWS\system32\drivers\ikfilesec.sys
2008-03-05 15:48 . 2007-12-10 14:53 29,576 --a------ E:\WINDOWS\system32\drivers\kcom.sys
2008-03-05 14:35 . 2008-03-05 14:35 <DIR> d-------- E:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Jump Poll Poke Mp3
2008-03-04 14:44 . 2008-03-04 14:44 <DIR> d-------- E:\Programme\Paint.NET
2008-03-04 02:26 . 2008-03-04 02:30 <DIR> d-------- E:\Programme\GWV
2008-02-28 22:32 . 2008-03-15 12:26 <DIR> d-------- E:\Programme\ICQToolbar
2008-02-28 22:31 . 2008-02-28 22:34 <DIR> d-------- E:\Programme\ICQ6

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-17 19:32 --------- d-----w E:\Programme\Steam
2008-03-14 21:17 --------- d-----w E:\Programme\GUILD WARS
2008-03-08 02:11 98,304 ----a-w E:\WINDOWS\system32\CmdLineExt.dll
2008-03-05 15:34 --------- d-----w E:\Programme\FlashGet
2008-03-05 15:12 --------- d-----w E:\Dokumente und Einstellungen\***\Anwendungsdaten\IrfanView
2008-02-19 16:43 --------- d-----w E:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2008-02-09 12:52 --------- d-----w E:\Programme\Java
2008-01-31 20:52 --------- d-----w E:\Programme\DATA BECKER
2008-01-29 20:19 --------- d-----w E:\Programme\Apple Software Update
2008-01-29 19:39 --------- d-----w E:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire
2008-01-25 20:56 --------- d-s---w E:\Programme\Xfire
2008-01-22 01:25 --------- d-----w E:\Programme\Game Cam v1.4
2008-01-11 00:29 54,608 ----a-w E:\WINDOWS\system32\xfcodec.dll
2006-08-15 17:50 76 ---ha-w E:\Programme\Desktop.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"LDM"="E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-16 16:13 67128]
"ICQ"="E:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]
"SPAM DEFY"="E:\DOKUME~1\***\ANWEND~1\FACEFA~1\REGSMEMO.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIDIA nTune"="E:\Programme\NVIDIA Corporation\nTune\\nTune.exe" [2004-12-06 11:06 532480]
"Launch Ai Booster"="E:\Programme\ASUS\Ai Booster\OverClk.exe" [2005-06-16 14:36 3627520]
"NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2007-04-19 12:26 7700480]
"nwiz"="nwiz.exe" [2007-04-19 12:26 1626112 E:\WINDOWS\system32\nwiz.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 10:50 20992 E:\WINDOWS\Logi_MwX.Exe]
"Profiler"="E:\Programme\Saitek\Software\Profiler.exe" [2004-08-19 13:08 159744]
"SaiSmart"="E:\Programme\Saitek\Software\SaiSmart.exe" [2004-08-19 13:08 98304]
"SaiMfd"="E:\Programme\Saitek\Software\SaiMfd.exe" [2004-08-19 12:10 135168]
"SunJavaUpdateSched"="E:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 12:42 249896]
"NvMediaCenter"="E:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 12:26 86016]
"TkBellExe"="E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-06 18:36 185896]
"QuickTime Task"="E:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"ISTray"="E:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

E:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen�\Programme\Autostart\
Logitech Desktop Messenger.lnk - E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-02-16 16:13:03 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKLM\~\startupfolder\E:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=E:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=E:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\E:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Xfire.lnk]
path=E:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Xfire.lnk
backup=E:\WINDOWS\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearFlix]
E:\Programme\BearFlix\BearFlix.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
E:\Programme\BearShare\BearShare.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 11:48 157592 E:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:54 5674352 E:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 E:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryMechanic]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2006-10-13 17:20 20058152 E:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-11-15 11:20 77824 E:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-01-11 14:51 1266936 e:\programme\steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-12-06 18:36 185896 E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector]
--------- 2003-11-19 12:03 45056 E:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WinVNC4"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\Xfire\\Xfire.exe"=
"E:\\Programme\\Steam\\SteamApps\\***@web.de\\day of defeat source\\hl2.exe"=
"E:\\Programme\\Steam\\SteamApps\\***@web.de\\counter-strike source\\hl2.exe"=
"E:\\Programme\\mIRC\\mirc.exe"=
"E:\\Programme\\THQ\\Dawn Of War\\W40k.exe"=
"E:\\Programme\\THQ\\Dawn Of War\\W40kWA.exe"=
"E:\\Programme\\Steam\\SteamApps\\common\\red orchestra\\System\\RedOrchestra.exe"=
"E:\\Programme\\Mozilla Firefox\\firefox.exe"=
"E:\\Programme\\Electronic Arts\\Need for Speed Carbon\\NFSC.exe"=
"E:\\WINDOWS\\system32\\dpnsvr.exe"=
"E:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"E:\\Programme\\DC++\\DCPlusPlus.exe"=
"D:\\Programme\\Cod2\\CoD2MP_s.exe"=
"D:\\Programme\\wh dark cruisade\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"E:\\Programme\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"E:\\Programme\\Steam\\SteamApps\\***@web.de\\source sdk base\\hl2.exe"=
"E:\\Programme\\Skype\\Phone\\Skype.exe"=
"E:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"E:\\Programme\\MSN Messenger\\livecall.exe"=
"E:\\Programme\\ICQ6\\ICQ.exe"=

R2 ACEDRV09;ACEDRV09;E:\WINDOWS\system32\drivers\ACEDRV09.sys [2007-07-02 18:45]
S2 Ca533av;JDC 3.0S Webcam;E:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 10:37]
S3 FWLANUSB;AVM FRITZ!WLAN;E:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2005-10-18 02:04]
S3 gAGP440p;gAGP440p;E:\DOKUME~1\***\LOKALE~1\Temp\gAGP440p.sys [2002-02-06 04:25]
S3 SaiH8000;SaiH8000;E:\WINDOWS\system32\DRIVERS\SaiH8000.sys [2004-12-10 10:41]
S3 USBCamera;JDC 3.0S Camera;E:\WINDOWS\system32\Drivers\Bulk533.sys [2003-05-14 22:28]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-17 20:00:00 E:\WINDOWS\Tasks\AB4AEB1E91B560BE.job"
- e:\dokume~1\***\anwend~1\facefa~1\wmaownschic.exe
"2008-03-13 15:33:27 E:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- E:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-17 21:07:30
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-17 21:08:22
ComboFix-quarantined-files.txt 2008-03-17 20:08:19
.
2008-03-12 03:38:12 --- E O F ---


MFG Ferrum

Hallo

Wozu nutzt du VNC und hast du deine Firewall deaktiviert?

lass bitte mal diese Datei

Zitat:

E:\DOKUME~1\***\LOKALE~1\Temp\gAGP440p.sys

(evtl. gibt es auf deinem System auch eine gAGP440p.exe bitte mitüberprüfen lassen)
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.
Dann sehen wir weiter.

MFG

Hallo Ferrum,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Code: Alles auswählenAufklappen

ATTFilter

KILLALL:: 

Registry:: 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SPAM DEFY"=-

File:: 
E:\WINDOWS\Tasks\AB4AEB1E91B560BE.job

Folder::
E:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Jump Poll Poke Mp3
         

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten