"System Error! Your computer was infected by unknown trojan

borisrobert · 21.03.2008, 17:52

Hallo,
auch mich hat es leider erwischt.

Bekomme immer ein Popup:

" System Error!

Your computer was infected by unknown trojan.
It´s dangerous for your system (critical file can be lost!)
Click OK to downlaod the antispyware profram to clean your system (Recomended) "

Ich benutze Windows XP, SP2 (WinNT 5.01.2600)
Hier mein Logfile von Hijjack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:52, on 21.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
E:\programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Media Player Classic - {486D0362-657B-4771-B56D-AE29AA31B78B} - C:\WINDOWS\ausctv32a.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [NVIDIA Performance Examiner] C:\WINDOWS\system32\nvCplUI.exe /page:{"0832D71B-1429-4747-8D59-B4B784798112"}
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - E:\Programme\T-DSL Manager\DslMgrSvc.exe
O24 - Desktop Component 0: (no name) - (no file)
--
End of file - 4801 bytes

Bin für jede Hilfe sehr Dankbar!!
Viele Grüsse
Boris

22.03.2008, 17:48

hi

ich versuch mal zu helfen so weit es geht

also
1. dieses genannte popup kriegst du ja nicht von kasperky oder!!!
2. also ich nehme nicht an das es von deinem scanner is du darfst dir auf keinen fall dieses "antispyware" programm downloaden!!!!!!!!!!!!!!!!!!!

hast du denn irgendwelche probleme mit deinem comp.??
hast schon mal den virenscanner laufen lassen???
benutze auch mal denn CCleaner (Crap Cleaner) - PCtipp.ch - Downloads (den empfehle ich immer kann nicht schaden

) lass auch die registry überprüfen und allfällige fehler beheben!!!
ps. dein logfile sieht auf den ersten blick sauber aus ;-)

**Sunny** · 23.03.2008, 00:34

Zusätzlich wäre jedoch angebracht:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\ausctv32a.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

borisrobert · 23.03.2008, 13:40

Hallo, vielen dank für die Tipps!

Die Antivierenprogramme CClean und Spybot haben leider nichts ergeben.
Das Popup taucht immer wieder auf, besonders beim IE7 und im Windows Explorer

Hier poste ich einemal das Ergbniss von Virustoral:

Antivirus Version

letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.22.1 2008.03.21 -
AntiVir 7.6.0.75 2008.03.22 TR/Dldr.Delf.fzh.1
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.23 -
AVG 7.5.0.516 2008.03.22 Downloader.Delf.BAA
BitDefender 7.2 2008.03.23 Trojan.Downloader.Codec.N
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.23 -
DrWeb 4.44.0.09170 2008.03.22 Trojan.Popuper.5248
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.23 -
F-Prot 4.4.2.54 2008.03.22 W32/Banload.E.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.21 -
FileAdvisor 1 2008.03.23 -
Fortinet 3.14.0.0 2008.03.23 -
Ikarus T3.1.1.20 2008.03.23 Trojan-Downloader.Delf.OGX
Kaspersky 7.0.0.125 2008.03.23 Trojan-Downloader.Win32.Delf.fzh
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.23 Trojan:Win32/Delflob.I
NOD32v2 2967 2008.03.21 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.22 -
Prevx1 V2 2008.03.23 Generic.Dropper.xCodec
Rising 20.36.62.00 2008.03.23 -
Sophos 4.27.0 2008.03.23 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.23 -
TheHacker 6.2.92.252 2008.03.22 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.22 -
Webwasher-Gateway 6.6.2 2008.03.23 Trojan.Dldr.Delf.fzh.1
weitere Informationen
File size: 228352 bytes
MD5: 9d216d4ed7b270276bd9463426441dae
SHA1: 700179aa22e5da7a48f885ef47361cb8e8222061
PEiD: ASPack v2.12 -> Alexey Solodovnikov
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DA0E343900B020017C1903E923E42D008D7D9042

borisrobert · 23.03.2008, 23:37

...und hier noch das ergebniss von ComboFIX:

ComboFix 08-03-23.2 - Administrator 2008-03-23 23:28:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1732 [GMT 1:00]
ausgeführt von:: E:\Azureus Downloads\firefox_downloads\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tmp28.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-23 bis 2008-03-23 ))))))))))))))))))))))))))))))
.

2008-03-21 13:49 . 2008-03-21 13:49 <DIR> d-------- C:\WINDOWS\Content.IE5
2008-03-21 12:06 . 2008-03-21 17:31 0 --a------ C:\23990098.$$$
2008-03-21 12:02 . 2008-03-21 12:02 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-21 12:02 . 2008-03-21 12:02 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-21 12:02 . 2008-03-21 12:02 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-21 12:02 . 2008-03-21 12:02 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-21 12:02 . 2008-03-21 12:02 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-21 12:02 . 2008-03-21 12:02 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-21 11:48 . 2008-03-21 11:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-21 11:42 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-03-21 11:42 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-03-21 11:42 . 2008-03-21 17:25 50 --a------ C:\WINDOWS\Lic.xxx
2008-03-21 11:27 . 2008-03-21 11:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-20 19:45 . 2008-03-20 19:45 228,352 --a------ C:\WINDOWS\ausctv32a.dll
2008-03-20 19:45 . 2008-03-20 19:47 50 --a------ C:\xmp.bat
2008-03-19 18:51 . 2008-03-19 18:51 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM
2008-03-18 18:29 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-03-18 18:29 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-03-18 18:29 . 2008-03-05 16:03 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
2008-03-18 18:29 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-03-18 18:29 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-03-18 18:29 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-03-17 00:25 . 2008-03-17 00:35 <DIR> d-------- C:\Programme\flatster
2008-03-17 00:25 . 2002-02-18 02:58 98,304 --a------ C:\WINDOWS\system32\unzip32.dll
2008-03-08 20:09 . 2008-03-08 21:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-03-05 20:09 . 2008-03-05 20:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-DSL Manager
2008-03-01 19:15 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2008-03-01 19:15 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2008-03-01 19:15 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
2008-03-01 19:15 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2008-03-01 19:15 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2008-03-01 19:15 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2008-03-01 19:15 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll
2008-03-01 19:14 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2008-03-01 19:12 . 2008-03-01 19:12 287,240 --a------ C:\dxwebsetup.exe
2008-03-01 01:16 . 2008-03-01 01:16 <DIR> d-------- C:\Programme\Bonjour
2008-03-01 01:08 . 2008-03-01 01:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-02-27 20:55 . 2008-02-28 22:13 <DIR> d-------- C:\Programme\JkDefrag-3.34
2008-02-25 18:40 . 2008-02-25 18:40 <DIR> d-------- C:\GEX-Backup
2008-02-24 12:04 . 2008-02-24 12:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WEBDE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-23 22:30 577,568 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-03-23 22:30 40,194,592 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-23 12:41 57,044 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-03-23 12:41 542,144 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-23 12:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
2008-03-21 10:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-21 09:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-03-19 18:36 737,280 ----a-w C:\WINDOWS\iun6002.exe
2008-03-16 23:52 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-16 23:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-16 11:46 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canon
2008-03-01 00:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-16 15:45 278,984 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2008-02-16 15:44 25,416 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2008-02-08 17:01 91,700 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-02-08 17:01 85,860 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-02-08 16:25 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gnupg
2008-02-01 18:42 --------- d-----w C:\Programme\Tobit ClipInc
2008-02-01 18:42 --------- d-----w C:\Programme\Recordings
2008-01-30 22:40 13,413,048 ----a-w C:\Programme\Google_Earth_BZXD.exe
2008-01-30 09:54 1,565,960 ----a-w C:\WINDOWS\CISUnins.exe
2008-01-30 09:54 1,565,960 ----a-w C:\WINDOWS\CICUnins.exe
2008-01-26 09:31 --------- d-----w C:\Programme\Smallvideosoft
2008-01-19 17:12 485,329 ----a-w C:\PowerDefragmenterGUI_Contig.zip
2008-01-13 14:10 38,160,992 ----a-w C:\Programme\5.05.38.00_ntune_winxp_international.exe
2008-01-11 17:46 1,386,496 ----a-w C:\WINDOWS\system32\msvbvm60.dll
2008-01-04 19:30 286,720 ----a-w C:\WINDOWS\iun506.exe
2007-11-23 19:28 73,544 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-03-15 10:56 90 --sh--w C:\WINDOWS\cnerolf.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{486D0362-657B-4771-B56D-AE29AA31B78B}]
2008-03-20 19:45 228352 --a------ C:\WINDOWS\ausctv32a.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-11-28 10:56 23552]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AutorunsDisabled]
C:\WINDOWS\system32\klogon.dll 2007-03-09 20:52 200768 C:\WINDOWS\system32\klogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2007-11-28 10:56 23552 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 01:41 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"E:\\programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"E:\\programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"%windir%\\system32\\sessmgr.exe"=
"E:\\programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"E:\\programme\\Crysis\\Bin32\\Crysis.exe"=
"E:\\programme\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"52504:TCP"= 52504:TCP:utorrent161.exe

S3 HotSpotFSvc;Hotspot Manager;"C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe" [2006-12-12 17:53]
S3 SWUSBFLT;Microsoft SideWinder VIA-Filtertreiber;C:\WINDOWS\system32\DRIVERS\SWUSBFLT.sys [2001-08-17 14:02]
S3 TDslMgrService;T-DSL Manager;"E:\Programme\T-DSL Manager\DslMgrSvc.exe" [2006-12-18 16:45]
S3 TSMPacket;T-DSL Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2006-12-01 16:04]
S4 ClipInc001;ClipInc 001;E:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
S4 ClipInc002;ClipInc 002;E:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
S4 ClipInc003;ClipInc 003;E:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 003 []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-23 23:30:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-23 23:30:55
ComboFix-quarantined-files.txt 2008-03-23 22:30:40
.
2008-01-09 07:58:42 --- E O F ---

borisrobert · 24.03.2008, 13:14

atei ausctv32a.dll empfangen 2008.03.23 13:29:07 (CET)
Status: Beendet

Ergebnis: 10/32 (31.25%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.22.1 2008.03.21 -
AntiVir 7.6.0.75 2008.03.22 TR/Dldr.Delf.fzh.1
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.23 -
AVG 7.5.0.516 2008.03.22 Downloader.Delf.BAA
BitDefender 7.2 2008.03.23 Trojan.Downloader.Codec.N
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.23 -
DrWeb 4.44.0.09170 2008.03.22 Trojan.Popuper.5248
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.23 -
FileAdvisor 1 2008.03.23 -
Fortinet 3.14.0.0 2008.03.23 -
F-Prot 4.4.2.54 2008.03.22 W32/Banload.E.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.21 -
Ikarus T3.1.1.20 2008.03.23 Trojan-Downloader.Delf.OGX
Kaspersky 7.0.0.125 2008.03.23 Trojan-Downloader.Win32.Delf.fzh
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.23 Trojan:Win32/Delflob.I
NOD32v2 2967 2008.03.21 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.22 -
Prevx1 V2 2008.03.23 Generic.Dropper.xCodec
Rising 20.36.62.00 2008.03.23 -
Sophos 4.27.0 2008.03.23 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.23 -
TheHacker 6.2.92.252 2008.03.22 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.22 -
Webwasher-Gateway 6.6.2 2008.03.23 Trojan.Dldr.Delf.fzh.1
weitere Informationen
File size: 228352 bytes
MD5: 9d216d4ed7b270276bd9463426441dae
SHA1: 700179aa22e5da7a48f885ef47361cb8e8222061
PEiD: ASPack v2.12 -> Alexey Solodovnikov
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DA0E343900B020017C1903E923E42D008D7D9042

**Sunny** · 24.03.2008, 13:30

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Killbox

Installiere das Programm auf deinem Desktop -> Pocket KILLBOX

-Starte es mit Doppelklick
-klick die Funktion -> "delete on reboot"

-kopiere diesen Dateipfad in das weiße Feld unter: Full Path

Zitat:

C:\WINDOWS\ausctv32a.dll

-dann auf das rote X klicken, die Frage "... want to reboot" mit Yes beantworten!
-nach dem Neustart diesen Ordner aufsuchen -> C:\!KillBox
und alle dort befindlichen Dateien manuell löschen.

"System Error! Your computer was infected by unknown trojan

Plagegeister aller Art und deren Bekämpfung: "System Error! Your computer was infected by unknown trojan