Trojanische Pferd zeigt er mir an Bitte um Hilfe

whazza · 28.03.2008, 16:36

Hi ich habe ein Problem und zwar meldet mein Viren Scanner als diese datein
ich bin sie auch als am löschen mit meinen Viren Scanner aber sie kommen als wieder und das alle 2 sec

die namen von den zwei Datein
eewwoiy.exe
yaywxYon.dll

es hört einfach nicht mehr auf!!!
benutze Avira AntiVir PersonalEdition Premium

Habe auch schon diese sachen ausprobiert
SmitfraudFix
Combofix

Logfile of HijackThis v1.99.1
Scan saved at 16:32:55, on 28.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\GUARDGUI.EXE
C:\Dokumente und Einstellungen\ILD\Desktop\sachen\sicherheits programme\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ5.1\ICQLite.exe -trayboot
O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5.1\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5.1\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F51BB32-E8A7-421C-A274-44CF7D06F3DC}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\
O20 - Winlogon Notify: yaywxYon - C:\WINDOWS\SYSTEM32\yaywxYon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Bitte um hilfe!!!

Mfg
whazza

**Sunny** · 28.03.2008, 16:40

Hallo whazza und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows"
(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".

ComboFix

-Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

whazza · 28.03.2008, 17:08

Danke für die Hilfe habe es jetzt so gemacht und was mir auf gefallen sobald ich ein Programm starte oder einfach c:/ auf machen will oder text datei öffnen will kommt immer diese Datei in Virenscanner yaywxYon.dll ich drücke auch immer auf löschen aber anscheinend löscht er sie nicht.
Möchte nicht unbedingt den Rechner neu installieren

ComboFix 08-03-26.3 - ILD 2008-03-28 16:51:43.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.366 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\ILD\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\ILD\Lokale Einstellungen\Anwendungsdaten\eewwoiy.dat
c:\Dokumente und Einstellungen\ILD\Lokale Einstellungen\Anwendungsdaten\eewwoiy_nav.dat
c:\Dokumente und Einstellungen\ILD\Lokale Einstellungen\Anwendungsdaten\eewwoiy_navps.dat
C:\WINDOWS\system32\nvs2.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-28 ))))))))))))))))))))))))))))))
.

2008-03-28 16:44 . 2008-03-28 16:44 <DIR> d-------- C:\Programme\CCleaner
2008-03-28 11:13 . 2008-03-28 11:13 39,936 --a------ C:\WINDOWS\system32\yaywxYon.dll
2008-03-28 11:00 . 2008-03-28 11:00 <DIR> d-------- C:\Programme\PhotoRescue PC v3.1.2.10607
2008-03-28 10:56 . 2008-03-28 10:56 <DIR> d-------- C:\Programme\Runtime Software
2008-03-28 10:54 . 2008-03-28 10:54 <DIR> d-------- C:\Programme\PC Inspector File Recovery
2008-03-28 10:54 . 2002-02-18 18:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD
2008-03-26 20:25 . 2008-03-26 20:25 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-26 20:25 . 2008-03-26 20:25 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-24 12:19 . 2008-03-24 19:37 2,452 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-24 12:18 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-24 12:18 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-24 12:18 . 2008-03-22 15:49 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-24 12:18 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-24 12:18 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-24 12:18 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-24 12:18 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-22 11:32 . 2008-03-22 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TERMINAL Studio
2008-03-21 20:05 . 2008-03-21 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aliasworlds
2008-03-21 11:17 . 2007-03-17 12:41 171,136 -rahs---- C:\grldr
2008-03-21 10:57 . 2008-03-21 10:57 <DIR> d--hs---- C:\Boot
2008-03-21 10:57 . 2006-11-02 10:53 438,840 -rahs---- C:\bootmgr
2008-03-21 10:57 . 2008-03-21 10:57 8,192 -ra-s---- C:\BOOTSECT.BAK
2008-03-21 09:48 . 2008-03-28 14:20 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-03-21 09:45 . 2008-03-21 09:45 108,768 --a------ C:\WINDOWS\system32\drivers\ACEDRV08.sys
2008-03-21 09:02 . 2008-03-21 09:02 1,409 --a------ C:\WINDOWS\system32\tmp2D551.FOT
2008-03-20 20:51 . 2008-03-20 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Ahead
2008-03-20 20:51 . 2008-03-20 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-03-20 20:49 . 2008-03-20 20:49 <DIR> d-------- C:\Programme\Nero
2008-03-20 20:49 . 2008-03-20 20:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-03-20 20:49 . 2008-03-20 20:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-03-20 19:50 . 2008-03-20 20:42 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\SiteAdvisor
2008-03-20 19:50 . 2008-03-20 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-03-20 19:50 . 2008-03-20 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-03-19 19:39 . 2008-03-19 19:39 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\My Games
2008-03-19 18:26 . 2008-03-19 18:26 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-18 17:40 . 2008-03-18 17:40 1,905 --a------ C:\WINDOWS\diagwrn.xml
2008-03-18 17:40 . 2008-03-18 17:40 1,905 --a------ C:\WINDOWS\diagerr.xml
2008-03-18 16:38 . 2008-03-18 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Magic Academy
2008-03-17 21:32 . 2008-03-17 21:32 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-03-17 21:32 . 2008-03-17 21:32 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-17 21:32 . 2008-02-18 04:32 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-03-17 20:54 . 2008-03-17 20:54 0 --a------ C:\WINDOWS\Irremote.ini
2008-03-17 11:51 . 2008-03-17 11:51 <DIR> d-------- C:\programs
2008-03-16 12:59 . 2004-08-04 00:57 1,689,088 --a------ C:\WINDOWS\system32\d71313e.dll
2008-03-16 12:59 . 2004-08-04 00:57 1,689,088 --a------ C:\WINDOWS\system32\d647a37.dll
2008-03-16 12:59 . 2004-08-04 00:57 82,944 --a------ C:\WINDOWS\system32\3d9126b.dll
2008-03-16 12:59 . 2004-08-04 00:57 82,944 --a------ C:\WINDOWS\system32\21888cd2.dll
2008-03-16 12:46 . 2008-03-16 12:46 1,409 --a------ C:\WINDOWS\system32\tmpAFB8F.FOT
2008-03-16 12:01 . 2008-03-16 12:01 <DIR> d-------- C:\Programme\psphomebrew9
2008-03-16 11:59 . 2008-03-16 11:59 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2008-03-16 11:41 . 2008-03-16 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-03-15 09:18 . 2008-03-15 09:18 282 --a------ C:\Dokumente und Einstellungen\ILD\.TrueMirror.zip
2008-03-15 08:52 . 2008-03-15 08:52 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\dsc
2008-03-15 08:50 . 2008-03-15 08:50 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\vw
2008-03-15 08:47 . 2008-03-15 08:48 999 --a------ C:\WINDOWS\WINCMD.INI
2008-03-15 08:46 . 2008-03-15 08:46 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2008-03-15 08:45 . 2008-03-15 08:46 <DIR> d-------- C:\WINDOWS\system32\Flash
2008-03-15 08:45 . 2008-03-15 08:45 <DIR> d-------- C:\Programme\TechSmith
2008-03-15 08:07 . 2008-03-15 08:12 <DIR> d-------- C:\Programme\MagicISO
2008-03-14 18:09 . 2008-03-14 18:11 140 --a------ C:\WINDOWS\winamp.ini
2008-03-12 17:02 . 1999-03-15 16:39 212,992 --a------ C:\WINDOWS\ALCHUNIN.EXE
2008-03-12 10:00 . 2004-08-04 00:57 82,944 --a------ C:\WINDOWS\system32\15e7e76c.dll
2008-03-12 09:29 . 2008-03-12 09:29 80 --ah----- C:\WINDOWS\system32\HsInfo.dat
2008-03-11 14:01 . 2008-03-11 14:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Escape From Paradise
2008-03-11 11:01 . 2008-03-11 11:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AquaSoft
2008-03-11 11:01 . 2008-03-11 11:01 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C370E567-E7B6-4B4E-8F6F-9CC2382A3DD9}
2008-03-11 10:41 . 2008-03-11 11:02 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\AquaSoft
2008-03-10 19:46 . 2008-03-10 19:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gogii
2008-03-10 13:45 . 2008-03-10 13:45 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Gaijin Ent
2008-03-10 13:14 . 2004-08-09 06:04 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-03-10 12:43 . 2008-03-10 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JollyBear
2008-03-05 18:05 . 2008-03-06 12:15 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Desperate Housewives
2008-03-05 18:05 . 2008-03-05 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Desperate Housewives
2008-03-05 18:01 . 2008-03-15 20:16 1,445 --a------ C:\WINDOWS\disney.ini
2008-03-05 18:01 . 2008-03-05 18:02 187 --a------ C:\WINDOWS\disneysy.ini
2008-03-04 20:03 . 2008-03-04 20:03 <DIR> d-------- C:\Programme\Photo Dose
2008-03-04 12:47 . 2006-03-30 19:18 100,992 -ra------ C:\WINDOWS\system32\drivers\viamraid.sys
2008-03-04 08:47 . 2008-03-04 09:03 <DIR> d-------- C:\Programme\XLink Kai Evolution 7
2008-03-03 11:06 . 2008-03-03 15:44 <DIR> d-------- C:\Programme\ICQ5.1
2008-03-02 11:40 . 2008-03-02 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Big Fish Games

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-28 10:18 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Azureus
2008-03-28 09:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-21 19:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScreenSeven
2008-03-21 08:50 --------- d-----w C:\Programme\DEUTSCHLAND SPIELT
2008-03-17 20:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-17 20:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-03-15 12:42 --------- d-----w C:\Programme\Azureus
2008-03-15 08:25 --------- d-----w C:\Programme\Java
2008-03-15 08:18 282 ----a-w C:\Dokumente und Einstellungen\ILD\.TrueMirror.zip
2008-03-14 14:17 --------- d-----w C:\Programme\SmartFTP Client
2008-03-14 14:09 --------- d-----w C:\Programme\SmartFTP Client 2.5 Setup Files
2008-03-10 15:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-10 12:41 --------- d-----w C:\Programme\OXXOGames
2008-03-09 18:18 --------- d-----w C:\Programme\Gemeinsame Dateien\XPressUpdate
2008-03-09 18:18 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\LimeWire
2008-03-06 19:39 --------- d-----w C:\Programme\HLSW
2008-03-02 10:02 0 ----a-w C:\Programme\temp01
2008-03-02 10:02 --------- d-----w C:\Programme\bfgclient
2008-03-02 10:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BigFishGamesCache
2008-03-02 06:25 --------- d-----w C:\Programme\Windows Live
2008-02-28 05:46 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\ICQ
2008-02-27 15:14 --------- d-----w C:\Programme\ICQ6
2008-02-23 12:39 --------- d-----w C:\Programme\TakeONE
2008-02-18 13:06 --------- d-----w C:\Programme\Simpli Software
2008-02-18 06:24 --------- d-----w C:\Programme\FreePDF_XP
2008-02-18 06:17 --------- d-----w C:\Programme\eMule
2008-02-18 06:04 --------- d-----w C:\Programme\PdfGrabber 4.0
2008-02-18 06:04 --------- d-----w C:\Programme\Gemeinsame Dateien\BCL Technologies
2008-02-18 06:04 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\PixelPlanet
2008-02-18 06:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet
2008-02-17 18:35 --------- d-----w C:\Programme\BFG
2008-02-17 18:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-02-17 18:05 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Alawar
2008-02-17 16:23 --------- d-----w C:\Programme\CrystalButton2
2008-02-17 16:22 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\MakeUpPilot
2008-02-17 16:20 --------- d-----w C:\Programme\MakeUp Pilot
2008-02-15 21:00 --------- d-----w C:\Programme\ALCATech
2008-02-15 17:59 --------- d-----w C:\Programme\Firstload
2008-02-12 15:38 --------- d-----w C:\Programme\ProtectDisc Driver Installer
2008-02-11 10:07 --------- d-----w C:\Programme\MAGIX Online Druck Service
2008-02-11 10:07 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\teamspeak2
2008-02-08 15:58 --------- d-----w C:\Programme\RegCleaner
2008-02-08 15:44 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\AntiVir PersonalEdition Premium
2008-02-07 17:14 --------- d-----w C:\Programme\Apollo PSP Video Converter
2008-02-07 11:09 --------- d-----w C:\Programme\Avira
2008-02-07 10:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-28 10:40 --------- d-----w C:\Programme\Winamp
2008-01-28 07:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2008-01-28 07:04 --------- d-----w C:\Programme\RapidSolution
2006-05-06 16:42 7,260,160 ----a-w C:\Programme\mozilla firefox\plugins\libvlc.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{08A8068E-53D1-42B2-B197-6D568843721F}]
2008-03-28 11:13 39936 --a------ C:\WINDOWS\system32\yaywxYon.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"eewwoiy"="c:\dokumente und einstellungen\ild\lokale einstellungen\anwendungsdaten\eewwoiy.exe" [ ]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 16:36 2372760]
"SoundMan"="SOUNDMAN.EXE" [2006-08-02 22:12 577536 C:\WINDOWS\soundman.exe]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2005-06-10 10:21 217088]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 16:41 45056]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-02-07 12:02 249896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{08A8068E-53D1-42B2-B197-6D568843721F}"= C:\WINDOWS\system32\yaywxYon.dll [2008-03-28 11:13 39936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yaywxYon]
yaywxYon.dll 2008-03-28 11:13 39936 C:\WINDOWS\system32\yaywxYon.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"IncrediMail"=C:\Programme\IncrediMail\bin\IncMail.exe /c
"Steam"="d:\spiele\steam\steam.exe" -silent
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Mirabilis ICQ"=C:\Programme\ICQ6\ICQ.exe -minimize
"UVS10 Preload"=C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"ICQ Lite"="C:\Programme\ICQ5.1\ICQLite.exe" -minimize

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\HLSW\\hlsw.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=

R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2008-03-21 09:45]
R2 acedrv09;acedrv09;C:\WINDOWS\system32\drivers\acedrv09.sys [2007-06-18 14:10]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-10-28 16:35]
R2 acehlp09;acehlp09;C:\WINDOWS\system32\drivers\acehlp09.sys [2007-05-30 17:54]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-10-26 14:53]
R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe" [2008-02-07 12:02]
R2 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2008-02-07 12:02]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 16:23]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 00:02]
S3 cel90xbe;cel90xbe;C:\DOKUME~1\ILD\LOKALE~1\Temp\cel90xbe.sys []
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 00:02]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2007-12-17 10:46]
S3 PsSdk30;PsSdk30;C:\WINDOWS\system32\Drivers\PsSdk30.drv []
S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys []
S3 scramby_out;Scramby Output;C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 09:31]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-17 21:32]
S3 XDva093;XDva093;C:\WINDOWS\system32\XDva093.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-03-28 16:00:04 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-28 16:59:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PSSdk21]
"ImagePath"="\??\C:\WINDOWS\system32\Drivers\HNPsSdk.drv"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PsSdk30]
"ImagePath"="\??\C:\WINDOWS\system32\Drivers\PsSdk30.drv"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\yaywxYon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-28 17:03:30 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-28 16:03:22
12 Verzeichnis(se), 23,769,116,672 Bytes frei
17 Verzeichnis(se), 23,697,821,696 Bytes frei
.
2008-03-19 10:56:27 --- E O F ---

**Sunny** · 28.03.2008, 17:40

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:

C:\DOKUME~1\ILD\LOKALE~1\Temp\cel90xbe.sys
C:\WINDOWS\system32\yaywxYon.dll
C:\WINDOWS\system32\tmp.reg
c:\dokumente und einstellungen\ild\lokale einstellungen\anwendungsdaten\eewwoiy.exe

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\tmpAFB8F.FOT
C:\WINDOWS\system32\15e7e76c.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

[/CENTER]

whazza · 28.03.2008, 18:34

Bericht von OTMoveIt by OldTimer

File/Folder C:\DOKUME~1\ILD\LOKALE~1\Temp\cel90xbe.sys not found.
LoadLibrary failed for C:\WINDOWS\system32\yaywxYon.dll
C:\WINDOWS\system32\yaywxYon.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\yaywxYon.dll scheduled to be moved on reboot.
C:\WINDOWS\system32\tmp.reg moved successfully.
File/Folder c:\dokumente und einstellungen\ild\lokale einstellungen\anwendungsdaten\eewwoiy.exe not found.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03282008_180856

Bericht von Virtustotal

von datei (tmpAFB8F.FOT)
Datei tmpAFB8F.FOT empfangen 2008.03.28 18:11:18 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.29.0 2008.03.28 -
AntiVir 7.6.0.78 2008.03.28 -
Authentium 4.93.8 2008.03.28 -
Avast 4.7.1098.0 2008.03.28 -
AVG 7.5.0.516 2008.03.28 -
BitDefender 7.2 2008.03.28 -
CAT-QuickHeal 9.50 2008.03.28 -
ClamAV 0.92.1 2008.03.28 -
DrWeb 4.44.0.09170 2008.03.28 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5651 2008.03.28 -
Ewido 4.0 2008.03.28 -
F-Prot 4.4.2.54 2008.03.27 -
F-Secure 6.70.13260.0 2008.03.28 -
FileAdvisor 1 2008.03.28 -
Fortinet 3.14.0.0 2008.03.28 -
Ikarus T3.1.1.20 2008.03.28 -
Kaspersky 7.0.0.125 2008.03.28 -
McAfee 5261 2008.03.27 -
Microsoft 1.3301 2008.03.28 -
NOD32v2 2982 2008.03.28 -
Norman 5.80.02 2008.03.28 -
Panda 9.0.0.4 2008.03.28 -
Prevx1 V2 2008.03.28 -
Rising 20.37.41.00 2008.03.28 -
Sophos 4.28.0 2008.03.28 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.28 -
TheHacker 6.2.92.257 2008.03.27 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.28 -
Webwasher-Gateway 6.6.2 2008.03.28 -

weitere Informationen
File size: 1409 bytes
MD5: 15fa4ae5369ab617f0fd97a3d94a730c
SHA1: 74c5c85eca28fe0833d3ec28ddafea6a4ff78b60
PEiD: -

von datei (15e7e76c.dll)

Datei 15e7e76c.dll empfangen 2008.03.28 18:20:34 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.29.0 2008.03.28 -
AntiVir 7.6.0.78 2008.03.28 -
Authentium 4.93.8 2008.03.28 -
Avast 4.7.1098.0 2008.03.28 -
AVG 7.5.0.516 2008.03.28 -
BitDefender 7.2 2008.03.28 -
CAT-QuickHeal 9.50 2008.03.28 -
ClamAV 0.92.1 2008.03.28 -
DrWeb 4.44.0.09170 2008.03.28 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5651 2008.03.28 -
Ewido 4.0 2008.03.28 -
F-Prot 4.4.2.54 2008.03.27 -
F-Secure 6.70.13260.0 2008.03.28 -
FileAdvisor 1 2008.03.28 -
Fortinet 3.14.0.0 2008.03.28 -
Ikarus T3.1.1.20 2008.03.28 -
Kaspersky 7.0.0.125 2008.03.28 -
McAfee 5261 2008.03.27 -
Microsoft 1.3301 2008.03.28 -
NOD32v2 2982 2008.03.28 -
Norman 5.80.02 2008.03.28 -
Panda 9.0.0.4 2008.03.28 -
Prevx1 V2 2008.03.28 -
Rising 20.37.41.00 2008.03.28 -
Sophos 4.28.0 2008.03.28 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.28 -
TheHacker 6.2.92.257 2008.03.27 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.28 -
Webwasher-Gateway 6.6.2 2008.03.28 -

weitere Informationen
File size: 82944 bytes
MD5: d569240a22421d5f670bb6fb6dd522b5
SHA1: 19574ad4c8c92e14de6b8f16920b49a52b6a99fa
PEiD: MS Visual C++ v.8 DLL (h-small sig2)

ich wollte mal probieren diese Datei (C:\WINDOWS\system32\yaywxYon.dll) zu löschen aber geht nicht
weil sie in Gebrauch ist von winlogon, dann hatte ich probiert sie (yaywxYon.dll) mit unlocker frei zu geben aber dann ist der pc sofort ausgegangen

Und nach diesen Programm habe ich noch nicht geguckt

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

**Sunny** · 28.03.2008, 19:13

mhh, das Ergbnis überzeugt mich aber überhaupt nicht

, daher folgendes:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Zitat:

Files to replace with dummy:

C:\DOKUME~1\ILD\LOKALE~1\Temp\cel90xbe.sys
C:\WINDOWS\system32\yaywxYon.dll

c:\dokumente und einstellungen\ild\lokale einstellungen\anwendungsdaten\eewwoiy.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.
4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!
5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

whazza · 28.03.2008, 19:36

jetzt bekomme ich ne meldung nachdem neustart

.NET-BroadcastEventWindows.1.0.5000.0.4.0: cli.exe - Abbild fehlerhaft
Die Anwendung oder DLL C:\WINDOWS\system32\yaywxYon.dll ist keine
gültig Windows-Datei. Überprüfen Sie diese mit der Installationsdiskette.

Ich habe aber keine Installationsdiskette auch kein Diskettenlaufwerk.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\DOKUME~1\ILD\LOKALE~1\Temp\cel90xbe.sys" not found!
Replacement with dummy of file "C:\DOKUME~1\ILD\LOKALE~1\Temp\cel90xbe.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\yaywxYon.dll" replaced with dummy successfully.

Error: file "c:\dokumente und einstellungen\ild\lokale einstellungen\anwendungsdaten\eewwoiy.exe" not found!
Replacement with dummy of file "c:\dokumente und einstellungen\ild\lokale einstellungen\anwendungsdaten\eewwoiy.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

**Sunny** · 28.03.2008, 19:39

Zitat:

Zitat von whazza

jetzt bekomme ich ne meldung nachdem neustart

Das ist auch gut so, die darfst du vorerst ignorieren.

Bitte poste nochmal einen neuen Report von Combofix:

(nochmal zur Info!)
ComboFix

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

whazza · 28.03.2008, 20:04

So konnte die Datei (yaywxYon.dll) endlich löschen jetzt kommt auch nichts mehr bei Virenscanner und wenn ich Programme öffne kommt auch nichts mehr
aber irgendwie habe ich das Gefühl das im system32 Ordner noch was drin ist bin mir aber nicht sich darf ich mal mein system32 Ordner hier posten als .txt.

ComboFix 08-03-26.3 - ILD 2008-03-28 19:49:47.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.402 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\ILD\Desktop\sachen\sicherheits programme\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-28 ))))))))))))))))))))))))))))))
.

2008-03-28 18:47 . 2008-03-28 18:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-28 18:47 . 2008-03-28 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Malwarebytes
2008-03-28 18:47 . 2008-03-28 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-28 18:08 . 2008-03-28 18:08 <DIR> d-------- C:\_OTMoveIt
2008-03-28 16:44 . 2008-03-28 16:44 <DIR> d-------- C:\Programme\CCleaner
2008-03-28 11:00 . 2008-03-28 11:00 <DIR> d-------- C:\Programme\PhotoRescue PC v3.1.2.10607
2008-03-28 10:56 . 2008-03-28 10:56 <DIR> d-------- C:\Programme\Runtime Software
2008-03-28 10:54 . 2008-03-28 10:54 <DIR> d-------- C:\Programme\PC Inspector File Recovery
2008-03-28 10:54 . 2002-02-18 18:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD
2008-03-26 20:25 . 2008-03-26 20:25 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-26 20:25 . 2008-03-26 20:25 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-24 12:18 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-24 12:18 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-24 12:18 . 2008-03-22 15:49 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-24 12:18 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-24 12:18 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-24 12:18 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-24 12:18 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-22 11:32 . 2008-03-22 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TERMINAL Studio
2008-03-21 20:05 . 2008-03-21 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aliasworlds
2008-03-21 11:17 . 2007-03-17 12:41 171,136 -rahs---- C:\grldr
2008-03-21 10:57 . 2008-03-21 10:57 <DIR> d--hs---- C:\Boot
2008-03-21 10:57 . 2006-11-02 10:53 438,840 -rahs---- C:\bootmgr
2008-03-21 10:57 . 2008-03-21 10:57 8,192 -ra-s---- C:\BOOTSECT.BAK
2008-03-21 09:48 . 2008-03-28 14:20 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-03-21 09:45 . 2008-03-21 09:45 108,768 --a------ C:\WINDOWS\system32\drivers\ACEDRV08.sys
2008-03-21 09:02 . 2008-03-21 09:02 1,409 --a------ C:\WINDOWS\system32\tmp2D551.FOT
2008-03-20 20:51 . 2008-03-20 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Ahead
2008-03-20 20:51 . 2008-03-20 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-03-20 20:49 . 2008-03-20 20:49 <DIR> d-------- C:\Programme\Nero
2008-03-20 20:49 . 2008-03-20 20:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-03-20 20:49 . 2008-03-20 20:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-03-20 19:50 . 2008-03-20 20:42 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\SiteAdvisor
2008-03-20 19:50 . 2008-03-20 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-03-20 19:50 . 2008-03-20 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-03-19 19:39 . 2008-03-19 19:39 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\My Games
2008-03-19 18:26 . 2008-03-19 18:26 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-18 17:40 . 2008-03-18 17:40 1,905 --a------ C:\WINDOWS\diagwrn.xml
2008-03-18 17:40 . 2008-03-18 17:40 1,905 --a------ C:\WINDOWS\diagerr.xml
2008-03-18 16:38 . 2008-03-18 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Magic Academy
2008-03-17 21:32 . 2008-03-17 21:32 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-03-17 21:32 . 2008-03-17 21:32 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-17 21:32 . 2008-02-18 04:32 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-03-17 20:54 . 2008-03-17 20:54 0 --a------ C:\WINDOWS\Irremote.ini
2008-03-17 11:51 . 2008-03-17 11:51 <DIR> d-------- C:\programs
2008-03-16 12:59 . 2004-08-04 00:57 1,689,088 --a------ C:\WINDOWS\system32\d71313e.dll
2008-03-16 12:59 . 2004-08-04 00:57 1,689,088 --a------ C:\WINDOWS\system32\d647a37.dll
2008-03-16 12:59 . 2004-08-04 00:57 82,944 --a------ C:\WINDOWS\system32\3d9126b.dll
2008-03-16 12:59 . 2004-08-04 00:57 82,944 --a------ C:\WINDOWS\system32\21888cd2.dll
2008-03-16 12:46 . 2008-03-16 12:46 1,409 --a------ C:\WINDOWS\system32\tmpAFB8F.FOT
2008-03-16 12:01 . 2008-03-16 12:01 <DIR> d-------- C:\Programme\psphomebrew9
2008-03-16 11:59 . 2008-03-16 11:59 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2008-03-16 11:41 . 2008-03-16 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-03-15 09:18 . 2008-03-15 09:18 282 --a------ C:\Dokumente und Einstellungen\ILD\.TrueMirror.zip
2008-03-15 08:52 . 2008-03-15 08:52 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\dsc
2008-03-15 08:50 . 2008-03-15 08:50 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\vw
2008-03-15 08:47 . 2008-03-15 08:48 999 --a------ C:\WINDOWS\WINCMD.INI
2008-03-15 08:46 . 2008-03-15 08:46 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2008-03-15 08:45 . 2008-03-15 08:46 <DIR> d-------- C:\WINDOWS\system32\Flash
2008-03-15 08:45 . 2008-03-15 08:45 <DIR> d-------- C:\Programme\TechSmith
2008-03-15 08:07 . 2008-03-15 08:12 <DIR> d-------- C:\Programme\MagicISO
2008-03-14 18:09 . 2008-03-14 18:11 140 --a------ C:\WINDOWS\winamp.ini
2008-03-12 17:02 . 1999-03-15 16:39 212,992 --a------ C:\WINDOWS\ALCHUNIN.EXE
2008-03-12 10:00 . 2004-08-04 00:57 82,944 --a------ C:\WINDOWS\system32\15e7e76c.dll
2008-03-12 09:29 . 2008-03-12 09:29 80 --ah----- C:\WINDOWS\system32\HsInfo.dat
2008-03-11 14:01 . 2008-03-11 14:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Escape From Paradise
2008-03-11 11:01 . 2008-03-11 11:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AquaSoft
2008-03-11 11:01 . 2008-03-11 11:01 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C370E567-E7B6-4B4E-8F6F-9CC2382A3DD9}
2008-03-11 10:41 . 2008-03-11 11:02 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\AquaSoft
2008-03-10 19:46 . 2008-03-10 19:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gogii
2008-03-10 13:45 . 2008-03-10 13:45 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Gaijin Ent
2008-03-10 13:14 . 2004-08-09 06:04 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-03-10 12:43 . 2008-03-10 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JollyBear
2008-03-05 18:05 . 2008-03-06 12:15 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Desperate Housewives
2008-03-05 18:05 . 2008-03-05 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Desperate Housewives
2008-03-05 18:01 . 2008-03-15 20:16 1,445 --a------ C:\WINDOWS\disney.ini
2008-03-05 18:01 . 2008-03-05 18:02 187 --a------ C:\WINDOWS\disneysy.ini
2008-03-04 20:03 . 2008-03-04 20:03 <DIR> d-------- C:\Programme\Photo Dose
2008-03-04 12:47 . 2006-03-30 19:18 100,992 -ra------ C:\WINDOWS\system32\drivers\viamraid.sys
2008-03-04 08:47 . 2008-03-04 09:03 <DIR> d-------- C:\Programme\XLink Kai Evolution 7
2008-03-03 11:06 . 2008-03-03 15:44 <DIR> d-------- C:\Programme\ICQ5.1
2008-03-02 11:40 . 2008-03-02 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Big Fish Games

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-28 10:18 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Azureus
2008-03-28 09:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-21 19:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScreenSeven
2008-03-21 08:50 --------- d-----w C:\Programme\DEUTSCHLAND SPIELT
2008-03-17 20:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-17 20:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-03-15 12:42 --------- d-----w C:\Programme\Azureus
2008-03-15 08:25 --------- d-----w C:\Programme\Java
2008-03-15 08:18 282 ----a-w C:\Dokumente und Einstellungen\ILD\.TrueMirror.zip
2008-03-14 14:17 --------- d-----w C:\Programme\SmartFTP Client
2008-03-14 14:09 --------- d-----w C:\Programme\SmartFTP Client 2.5 Setup Files
2008-03-10 15:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-10 12:41 --------- d-----w C:\Programme\OXXOGames
2008-03-09 18:18 --------- d-----w C:\Programme\Gemeinsame Dateien\XPressUpdate
2008-03-09 18:18 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\LimeWire
2008-03-06 19:39 --------- d-----w C:\Programme\HLSW
2008-03-05 17:05 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-02 10:02 0 ----a-w C:\Programme\temp01
2008-03-02 10:02 --------- d-----w C:\Programme\bfgclient
2008-03-02 10:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BigFishGamesCache
2008-03-02 06:25 --------- d-----w C:\Programme\Windows Live
2008-02-28 05:46 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\ICQ
2008-02-27 15:14 --------- d-----w C:\Programme\ICQ6
2008-02-23 12:39 --------- d-----w C:\Programme\TakeONE
2008-02-18 13:06 --------- d-----w C:\Programme\Simpli Software
2008-02-18 06:24 --------- d-----w C:\Programme\FreePDF_XP
2008-02-18 06:17 --------- d-----w C:\Programme\eMule
2008-02-18 06:04 --------- d-----w C:\Programme\PdfGrabber 4.0
2008-02-18 06:04 --------- d-----w C:\Programme\Gemeinsame Dateien\BCL Technologies
2008-02-18 06:04 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\PixelPlanet
2008-02-18 06:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet
2008-02-17 18:35 --------- d-----w C:\Programme\BFG
2008-02-17 18:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-02-17 18:05 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\Alawar
2008-02-17 16:23 --------- d-----w C:\Programme\CrystalButton2
2008-02-17 16:22 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\MakeUpPilot
2008-02-17 16:20 --------- d-----w C:\Programme\MakeUp Pilot
2008-02-15 21:00 --------- d-----w C:\Programme\ALCATech
2008-02-15 17:59 --------- d-----w C:\Programme\Firstload
2008-02-12 15:38 --------- d-----w C:\Programme\ProtectDisc Driver Installer
2008-02-11 10:07 --------- d-----w C:\Programme\MAGIX Online Druck Service
2008-02-11 10:07 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\teamspeak2
2008-02-08 15:58 --------- d-----w C:\Programme\RegCleaner
2008-02-08 15:44 --------- d-----w C:\Dokumente und Einstellungen\ILD\Anwendungsdaten\AntiVir PersonalEdition Premium
2008-02-07 17:14 --------- d-----w C:\Programme\Apollo PSP Video Converter
2008-02-07 11:09 --------- d-----w C:\Programme\Avira
2008-02-07 10:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-28 10:40 --------- d-----w C:\Programme\Winamp
2008-01-28 07:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2008-01-28 07:04 --------- d-----w C:\Programme\RapidSolution
2006-05-06 16:42 7,260,160 ----a-w C:\Programme\mozilla firefox\plugins\libvlc.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{08A8068E-53D1-42B2-B197-6D568843721F}]
C:\WINDOWS\system32\yaywxYon.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 16:36 2372760]
"SoundMan"="SOUNDMAN.EXE" [2006-08-02 22:12 577536 C:\WINDOWS\soundman.exe]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2005-06-10 10:21 217088]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 16:41 45056]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-02-07 12:02 249896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{08A8068E-53D1-42B2-B197-6D568843721F}"= C:\WINDOWS\system32\yaywxYon.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yaywxYon]
yaywxYon.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"IncrediMail"=C:\Programme\IncrediMail\bin\IncMail.exe /c
"Steam"="d:\spiele\steam\steam.exe" -silent
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Mirabilis ICQ"=C:\Programme\ICQ6\ICQ.exe -minimize
"UVS10 Preload"=C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"ICQ Lite"="C:\Programme\ICQ5.1\ICQLite.exe" -minimize

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\HLSW\\hlsw.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=

R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2008-03-21 09:45]
R2 acedrv09;acedrv09;C:\WINDOWS\system32\drivers\acedrv09.sys [2007-06-18 14:10]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-10-28 16:35]
R2 acehlp09;acehlp09;C:\WINDOWS\system32\drivers\acehlp09.sys [2007-05-30 17:54]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-10-26 14:53]
R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe" [2008-02-07 12:02]
R2 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2008-02-07 12:02]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 16:23]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 00:02]
S3 cel90xbe;cel90xbe;C:\DOKUME~1\ILD\LOKALE~1\Temp\cel90xbe.sys []
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 00:02]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2007-12-17 10:46]
S3 PsSdk30;PsSdk30;C:\WINDOWS\system32\Drivers\PsSdk30.drv []
S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys []
S3 scramby_out;Scramby Output;C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 09:31]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-17 21:32]
S3 XDva093;XDva093;C:\WINDOWS\system32\XDva093.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-03-28 19:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-28 19:54:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PSSdk21]
"ImagePath"="\??\C:\WINDOWS\system32\Drivers\HNPsSdk.drv"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PsSdk30]
"ImagePath"="\??\C:\WINDOWS\system32\Drivers\PsSdk30.drv"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-28 20:00:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-28 19:00:42
ComboFix2.txt 2008-03-28 16:03:30
14 Verzeichnis(se), 23,743,995,904 Bytes frei
18 Verzeichnis(se), 23,733,268,480 Bytes frei
.
2008-03-19 10:56:27 --- E O F ---

**Sunny** · 28.03.2008, 20:12

Ich kann dir noch keine Entwarnung geben, es sitzt noch einiges sehr hartnäckig im System:

wie folgt vorgehen:

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.

Desweiteren -> Anleitung unhackme

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

[/CENTER]

whazza · 28.03.2008, 20:34

SDFix: Version 1.163

Run by ILD on 28.03.2008 at 20:23

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\ILD\Desktop\SDFix\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-28 20:28:26
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:74a7e87f
"s2"=dword:b8e9bafe
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:72,92,49,16,ea,15,d3,d6,39,e6,55,2e,d4,b2,5e,a8,2f,12,cd,02,b6,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5c,4b,0c,d5,ad,04,93,92,fc,9b,83,24,80,77,8e,f1,b2,..
"khjeh"=hex:82,f0,15,c6,ed,be,32,91,17,d2,0b,e1,c2,06,7b,9e,4e,51,0a,ac,e6,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:35,80,fe,d4,c1,cf,9b,89,0f,fb,c5,a5,e7,14,55,0f,4b,7e,30,cb,7e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:94,9b,95,9b,87,b9,6b,96,c1,96,7a,41,0f,0c,d9,22,63,fa,e0,49,54,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:a9,f2,6b,2d,18,c4,e6,5c,79,98,85,6d,dd,5a,01,4c,06,fa,c3,9a,f1,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:a9,f2,6b,2d,18,c4,e6,5c,79,98,85,6d,dd,5a,01,4c,06,fa,c3,9a,f1,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:7d,bd,1a,d4,59,f7,97,db,b6,b9,79,a3,8f,b0,22,49,a2,04,27,d6,b0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5c,4b,0c,d5,ad,04,93,92,fc,9b,83,24,80,77,8e,f1,b2,..
"khjeh"=hex:82,f0,15,c6,ed,be,32,91,17,d2,0b,e1,c2,06,7b,9e,4e,51,0a,ac,e6,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:0a,9e,6e,51,8d,60,de,5d,85,07,86,c6,2c,f4,4d,e3,a7,50,b4,79,42,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:94,9b,95,9b,87,b9,6b,96,c1,96,7a,41,0f,0c,d9,22,63,fa,e0,49,54,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:a9,f2,6b,2d,18,c4,e6,5c,79,98,85,6d,dd,5a,01,4c,06,fa,c3,9a,f1,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:a9,f2,6b,2d,18,c4,e6,5c,79,98,85,6d,dd,5a,01,4c,06,fa,c3,9a,f1,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:7d,bd,1a,d4,59,f7,97,db,b6,b9,79,a3,8f,b0,22,49,a2,04,27,d6,b0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5c,4b,0c,d5,ad,04,93,92,fc,9b,83,24,80,77,8e,f1,b2,..
"khjeh"=hex:82,f0,15,c6,ed,be,32,91,17,d2,0b,e1,c2,06,7b,9e,4e,51,0a,ac,e6,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:3f,ef,f2,93,4c,3b,c1,72,19,49,eb,7a,8f,e3,e5,80,f6,00,f2,f0,c9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:a9,f2,6b,2d,18,c4,e6,5c,79,98,85,6d,dd,5a,01,4c,06,fa,c3,9a,f1,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:a9,f2,6b,2d,18,c4,e6,5c,79,98,85,6d,dd,5a,01,4c,06,fa,c3,9a,f1,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:a9,f2,6b,2d,18,c4,e6,5c,79,98,85,6d,dd,5a,01,4c,06,fa,c3,9a,f1,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:72,92,49,16,ea,15,d3,d6,39,e6,55,2e,d4,b2,5e,a8,2f,12,cd,02,b6,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5c,4b,0c,d5,ad,04,93,92,fc,9b,83,24,80,77,8e,f1,b2,..
"khjeh"=hex:82,f0,15,c6,ed,be,32,91,17,d2,0b,e1,c2,06,7b,9e,4e,51,0a,ac,e6,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:35,80,fe,d4,c1,cf,9b,89,0f,fb,c5,a5,e7,14,55,0f,4b,7e,30,cb,7e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:94,9b,95,9b,87,b9,6b,96,c1,96,7a,41,0f,0c,d9,22,63,fa,e0,49,54,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:a9,f2,6b,2d,18,c4,e6,5c,79,98,85,6d,dd,5a,01,4c,06,fa,c3,9a,f1,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:a9,f2,6b,2d,18,c4,e6,5c,79,98,85,6d,dd,5a,01,4c,06,fa,c3,9a,f1,..

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 65536 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\\Programme\\HLSW\\hlsw.exe"="C:\\Programme\\HLSW\\hlsw.exe:*:Enabled:HLSW"
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"="C:\\Programme\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"="C:\\Programme\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.5"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

File Backups: - C:\DOKUME~1\ILD\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 21 Mar 2008 502 ...H. --- "C:\Boot.BAK"
Wed 23 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\52ce26fea0efba79c7052e71b88e981f\BIT2.tmp"
Thu 17 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\62d4af09721fdc9106dafac9cc73f6a9\BIT9B.tmp"
Thu 17 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c0f28103202588eaffcae899fa61e7fb\BIT9C.tmp"
Wed 21 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ddcdc34461145abcbfe2d51292b74a9e\BIT7.tmp"

Finished!

**Sunny** · 28.03.2008, 20:44

Nachdem du Malwarebytes ausgeführt und das Ergebnis gepostet hast, bitte das hier ausführen:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb

C:\Boot.BAK"
C:\WINDOWS\SoftwareDistribution\Download\52ce26fea0efba79c7052e71b88e981f\BIT2.tmp"
C:\WINDOWS\SoftwareDistribution\Download\62d4af0921fdc9106dafac9cc73f6a9\BIT9B.tmp"
C:\WINDOWS\SoftwareDistribution\Download\c0f2810302588eaffcae899fa61e7fb\BIT9C.tmp"
C:\WINDOWS\SoftwareDistribution\Download\ddcdc3441145abcbfe2d51292b74a9e\BIT7.tmp"

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Habe dazu noch nicht viel lesen bzw. finden können, aber sicher ist sicher.

whazza · 28.03.2008, 20:48

Können wir das morgen Abend weiter machen weil ich muss gleich zur arbeit.

**Sunny** · 28.03.2008, 20:49

Zitat:

Zitat von whazza

Können wir das morgen Abend weiter machen weil ich muss gleich zur arbeit.

Kein Problem, ich habe Zeit..

whazza · 28.03.2008, 20:50

Vielen dank melde mich dann morgen Abend bye.

Trojanische Pferd zeigt er mir an Bitte um Hilfe

Plagegeister aller Art und deren Bekämpfung: Trojanische Pferd zeigt er mir an Bitte um Hilfe