Win32.Trojan.Spy kommt immer wieder!

Matze81 · 14.03.2008, 16:43

Hallo!
Ich bin neu im Forum!

Ich habe die Forum-Suchfunktion genutzt, aber nicht genau den Trojaner gefunden, der in meinem Thema steht.
Falls ich was übersehen hab, möcht ich mich entschuldigen!

Ich arbeite mit AdAware (Screenshot) und AntiVir und beide Programme erkennen und löschen den Registry Eintrag.
Leider ist der Eintrag meistens einen Tag später wieder da. Auch manuelles löschen des Eintrags hat nichts gebracht.

Sabina · 14.03.2008, 17:24

Hallo,

«
deinstalliere das veraltete AdAware - es gibt eine neue Version

AdAware

«
wende bitte HijackThis an + poste hier das Log
Hijackthis - deutsche Anleitung

Matze81 · 14.03.2008, 20:53

Hallo!

Hier ist das Log:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

Sabina · 15.03.2008, 00:37

Hallo,

ich rate dir dringend, das System neu aufzusetzen !
Auf dem Rechner ist ein Kernel Virus - du solltest alle wichtigen Passwörter nach der Reinigung und nach dem Formatieren ändern !

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\System32\ntos.exe ,

der Trojaner schickt sensitive Informationen, wie besuchte WWW-Seiten und Passwörter, an Dritte.
-------------------------

falls du doch reinigen willst :

1.
mit dem HijackThis löschen ("fixen")

Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat:

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\System32\ntos.exe

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

2.
Start - Ausführen - schreib rein: cmd

kopiere rein

del ntos.exe

# klicke Enter

cd wsnpoem

# klicke Enter

del audio.dll

# klicke Enter

del video.dll

# klicke Enter

exit

--------------------------------------------------------

PC neustarten

««
«lade sdfix - boote in den abgesicherten Modus
wende sdfix an + poste dann hier den report
SDFix

««
lade , scanne im abgesicherten Modus + poste den report
Kaspersky - VirusRemoval Programm - AVPTool

«

Matze81 · 15.03.2008, 02:22

Wenn das stimmt, dann ist aber die automatische Logfileauswertung von HijackThis für'n Allerwertesten!
Da steht für meinen Logfile nämlich folgendes:

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\System32\ntos.exe,
Wird seit HijackThis 1.98 angezeigt. Steht nichts hinter dem "," (Komma), gut.

Sabina · 15.03.2008, 09:30

nur..es steht was hinter dem Komma von userinit.exe, - und was da steht, sieht übel aus

wie entscheidest du dich also ? Reinigen + Passworte ändern oder formatieren + Passworte ändern ?

Matze81 · 15.03.2008, 10:52

Ah, verstehe. Wirklich blöd das die Logfileauswertung einen grünen Haken bei dem Eintrag setzt.

Ich versuch zunächst mal zu reinigen.

Zu deiner Anleitung hab ich noch ne Frage. Zu Schritt 2 genauer gesagt.

Was hat das mit der video.dll und audio.dll auf sich?

Hilft deine Anleitung auch bei den beiden Trojanern im ursprünglichen Post?

Sabina · 15.03.2008, 12:59

diese Dateien gehöre zum Virus.
arbeite bitte alles ab, so wie beschrieben + poste die logs.

Matze81 · 15.03.2008, 18:09

Hi, Sabina!

Sorry, ich komm bei Schritt 2 nicht weiter.

Wenn ich im DOS-Fenster bin, wechsle ich ins C:\windows\system32 Verzeichnis (das hast du zwar nicht hingeschrieben aber da drin scheint ja die ntos.exe zu sein, oder??)
Der Befehl "del ntos.exe" wird nicht akzeptiert weil: "Datei kann nicht gefunden werden".

Wenn ich danach ins Verzeichnis C:\windows\system32\wsnpoem wechsle um die audio.dll / video.dll zu löschen funktioniert das nicht, weil ein Prozess auf diese zugreift.

Ich bin, wie du bestimmt schon bemerkt hast, der totale Amateur was solche Sachen betrifft.

Ich hoff du hilfst mir trotzdem weiter.

Ich hab den Regstriy Eintrag unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" gefunden.
Hilft es, wenn ich den letzten Teil des Eintrags (C:\windows\system32\ntos.exe,) manuell lösche?

Sabina · 15.03.2008, 20:17

wir machen es mal anders:
wende Combofix an + poste hier den report
http://www.virus-protect.org/artikel.../combofix.html

Matze81 · 15.03.2008, 22:06

Hi!
Hier das Log von ComboFix:

((((((((((((((((((((((( Dateien erstellt von 2008-02-15 bis 2008-03-15 ))))))))))))))))))))))))))))))
.

2008-02-23 19:46 . 2008-03-15 21:40 <DIR> d--hs---- C:\WINDOWS\SYSTEM32\wsnpoem

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-15 17:41 107,888 ----a-w C:\WINDOWS\SYSTEM32\CmdLineExt.dll
2008-03-15 17:32 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-15 17:32 107,832 ----a-w C:\WINDOWS\SYSTEM32\PnkBstrB.exe
2008-03-15 00:46 --------- d-----w C:\Programme\HyperLobbyPro3
2008-03-14 21:32 --------- d-----w C:\Programme\HOTAS
2008-03-14 13:48 --------- d-----w C:\Dokumente und Einstellungen\Mat**\Anwendungsdaten\teamspeak2
2008-03-13 15:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-01-30 23:08 --------- d-----w C:\Dokumente und Einstellungen\Mat**\Anwendungsdaten\Xfire
2008-01-27 01:11 --------- d-----w C:\Programme\Xfire
2008-01-25 17:23 66,872 ----a-w C:\WINDOWS\SYSTEM32\PnkBstrA.exe
2008-01-25 17:22 22,328 ----a-w C:\Dokumente und Einstellungen\Mat**\Anwendungsdaten\PnkBstrK.sys
2008-01-18 12:38 --------- d-----w C:\Programme\Creative
2008-01-18 12:37 86,016 ----a-w C:\WINDOWS\SYSTEM32\OpenAL32.dll
2008-01-18 12:37 409,600 ----a-w C:\WINDOWS\SYSTEM32\wrap_oal.dll
2008-01-16 23:38 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-01-16 23:00 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-16 22:38 54,608 ----a-w C:\WINDOWS\SYSTEM32\xfcodec.dll
2005-11-08 15:46 284 ----a-w C:\Dokumente und Einstellungen\Mat**\Anwendungsdaten\ViewerApp.dat
2005-05-11 22:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
2003-02-28 10:32 11,776 ----a-w C:\WINDOWS\INF\dt154stickoem_wxp.exe
2002-11-14 20:32 55,808 ----a-w C:\WINDOWS\INF\devcon154stick.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2004-06-29 11:23 135168]
"Habu"="C:\Programme\Razer\Habu\razerhid.exe" [2007-05-11 10:58 176128]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"CTSysVol"="C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe" [2002-10-29 09:18 49152]
"CTDVDDet"="C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE" [2002-09-30 01:00 45056]
"CTHelper"="CTHELPER.EXE" [2006-08-11 14:56 17920 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 14:56 18944 C:\WINDOWS\SYSTEM32\CTXFIHLP.EXE]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 05:00 13312]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 8.0 Tray-Symbol.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 8.0 Tray-Symbol.lnk
backup=C:\WINDOWS\pss\AOL 8.0 Tray-Symbol.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=C:\WINDOWS\pss\HP Image Zone Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Picture Package Menu.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Picture Package Menu.lnk
backup=C:\WINDOWS\pss\Picture Package Menu.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Picture Package VCD Maker.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Picture Package VCD Maker.lnk
backup=C:\WINDOWS\pss\Picture Package VCD Maker.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Sinus 154 stick WLAN Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sinus 154 stick WLAN Manager.lnk
backup=C:\WINDOWS\pss\Sinus 154 stick WLAN Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
--a------ 2004-04-08 06:01 496752 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-03-13 16:31 249896 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2002-08-29 05:00 13312 C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 C:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCAgentExe]
C:\PROGRA~1\McAfee.com\Agent\McAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McRegWiz]
c:\PROGRA~1\mcafee.com\agent\mcregwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCUpdateExe]
C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
-ra------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 15:57 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-06-28 20:29 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SB Audigy 2 Startup Menu]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sonic RecordNow!]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2003-11-19 17:48 32881 C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ThrustTSR]
--a------ 2001-03-20 18:43 163840 C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
--a------ 2003-08-19 01:01 110592 C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
--------- 2000-05-11 01:00 90112 C:\WINDOWS\UpdReg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirusScan]
c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirusScan Online]
c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VSOCheckTask]
c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WD Button Manager]
--a------ 2006-12-09 02:22 339968 C:\WINDOWS\SYSTEM32\WDBtnMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MCVSRte"=3 (0x3)
"mcupdmgr.exe"=3 (0x3)
"McShield"=3 (0x3)
"Avg7UpdSvc"=2 (0x2)
"Avg7Alrt"=2 (0x2)
"AOL ACS"=2 (0x2)
"Pml Driver HPZ12"=2 (0x2)
"AntiVirService"=2 (0x2)
"Creative Service for CDROM Access"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-03-13 16:31]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-03-13 16:31]
R3 HabuFltr;Habu Mouse;C:\WINDOWS\System32\drivers\habu.sys [2006-10-23 11:09]
R3 STTub203;Thrustmaster HOTAS USB Bulk Out;C:\WINDOWS\System32\Drivers\STTub203.sys [2002-10-03 12:52]
S3 cel90xbe;cel90xbe;C:\DOKUME~1\Mat**\LOKALE~1\Temp\cel90xbe.sys []
S3 uisp;Freescale USB JW32 driver;C:\WINDOWS\System32\Drivers\usbicp.sys [2005-12-21 10:23]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-14 23:00:06 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
"2004-10-29 20:00:46 C:\WINDOWS\Tasks\ISP-Anmeldungserinnerung 1.job"
- C:\WINDOWS\System32\OOBE\OOBEBALN.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-15 21:58:15

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\ntos.exe 306176 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

Sabina · 15.03.2008, 22:17

1.
otmoveIt
OTMoveIt by OldTimer

öffne: OTMoveIt.exe
Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Code:

ATTFilter

C:\WINDOWS\SYSTEM32\wsnpoem

Klicke auf den Roten MoveIt!
poste das log , was erscheint

--
2.
wende sdfix an (muss im abgesicherten Modus sein)
poste dann hier den report
SDFix

Matze81 · 16.03.2008, 01:06

Hallo!

Hier ist das Log von OTMoveIt:

Folder move failed. C:\WINDOWS\SYSTEM32\wsnpoem scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03162008_003606

Das Log von SDFixIt:

SDFix: Version 1.157

Run by Administrator on 16.03.2008 at 00:51

Microsoft Windows XP
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\ntos.exe - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted

Folder C:\WINDOWS\system32\wsnpoem - Removed

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-16 00:56:03

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:dc1070da
"s1"=dword:d0bb9cf5
"s2"=dword:408c0524
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:4d,55,34,d4,0a,2c,01,ca,66,45,b2,a6,7c,1d,81,f7,6b,eb,89,0d,61,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:4d,55,34,d4,0a,2c,01,ca,66,45,b2,a6,7c,1d,81,f7,6b,eb,89,0d,61,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 23 Apr 2003 49,221 A..H. --- "C:\Programme\AOL 8.0\aolphx.exe"
Wed 23 Apr 2003 36,937 A..H. --- "C:\Programme\AOL 8.0\aoltray.exe"
Wed 23 Apr 2003 40,960 A..H. --- "C:\Programme\AOL 8.0\RBM.exe"
Tue 24 Jun 2003 441,344 ...H. --- "C:\Programme\AOL 8.0\StartSM.exe"
Wed 23 Apr 2003 237,633 A..H. --- "C:\Programme\AOL 8.0\waol.exe"
Wed 23 Apr 2003 49,221 A..H. --- "C:\Programme\AOL 8.0a\aolphx.exe"
Wed 23 Apr 2003 36,937 A..H. --- "C:\Programme\AOL 8.0a\aoltray.exe"
Wed 23 Apr 2003 40,960 A..H. --- "C:\Programme\AOL 8.0a\RBM.exe"
Tue 24 Jun 2003 441,344 ...H. --- "C:\Programme\AOL 8.0a\StartSM.exe"
Wed 23 Apr 2003 237,633 A..H. --- "C:\Programme\AOL 8.0a\waol.exe"
Mon 10 May 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Mon 10 May 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Mon 10 May 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Wed 23 Apr 2003 49,223 A..H. --- "C:\Programme\AOL 8.0\COMIT\cswitch.exe"
Wed 23 Apr 2003 49,223 A..H. --- "C:\Programme\AOL 8.0a\COMIT\cswitch.exe"
Sat 15 Mar 2008 3,015 ...HR --- "C:\Dokumente und Einstellungen\Mat**\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Mon 10 May 2004 111,544 A..H. --- "C:\Programme\Gemeinsame Dateien\aolshare\shell\de\shellext.dll"

Finished!

Sabina · 16.03.2008, 01:18

Hallo,

«
OTMoveIt
klicken: CleanUp! button

«
scanne mit F-secure/Onlinescan + poste hier den scanreport
Online Virenscanner

«
poste das neue log vom HijackThis

«
dann sollte wieder alles i.o. sein.

Matze81 · 16.03.2008, 21:45

Hallo!
Den Online-Scan hab ich noch nicht durchgeführt, aber hier schon mal das HijackThis Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\Razer\Habu\razerhid.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\PnkBstrB.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Razer\Habu\razertra.exe
C:\Programme\Razer\Habu\razerofa.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.jasc.com/command.asp?app=jasc&function=privacy&lang=german
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [Habu] C:\Programme\Razer\Habu\razerhid.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,84/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - h**p://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,21/mcgdmgr.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\System32\PnkBstrB.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Win32.Trojan.Spy kommt immer wieder!

Plagegeister aller Art und deren Bekämpfung: Win32.Trojan.Spy kommt immer wieder!