Trojaner "JS:Redirector"?

Phoenix71 · 07.04.2008, 11:20

Nachdem mein PC mal wieder grottenlangsam wurde, hab ich Avast scannen lassen und er zeigt mir einen Trojaner an. Leider konnte ich auch nach zweistündiger Suche im Netz nichts darüber finden, wie ich ihn wieder los werde (bzw. was er überhaupt bewirkt) - Avast jedenfalls kann ihn nicht löschen - und bitte jetzt um Hilfe:

Weiß irgendwer etwas über den Trojaner "JS:Redirector"?

Was ich spannend finde ist die Tatsache, dass er im Outlook hängt, mir über Hotmail zugegangen ist UND als Anhang einer Datei, die defintiv im Spam gelandet ist, also die mail nicht mal geöffnet wurde.

Und wenn wir schon mal dabei sind - beim Versuch, eine andere Datei zu löschen, gab mir Avast den freundlichen Hinweis: "Fehler aufgetreten bei Datei löschen: Die Datei ist eine Dekomprimierungsbombe." Was ist wohl eine Dekomprimierungsbombe? (Die Datei gehört zu einem Rechenspiel, das ich mal für meine Töchter aufgespielt hatte und das längst gelöscht wurde...)

Bei der Formulierung Eurer Hilfe bitte ich dran zu denken, dass ich nicht immer weiß, was mein PC tut... Herzlichen Dank schon mal...

07.04.2008, 11:48

hi phoenix

Bitte erstelle als erstes ein HijackThis Logfile (link ist in meiner Signatur zu finden)

Phoenix71 · 07.04.2008, 18:17

Irgendwie hatte ich gehofft, ich komm drumdrum...
Nun gut, hier ist das Logfile. Ich komm nicht so ganz drüber weg, dass da Sachen noch laufen bzw. zu sehen sind, von denen ich ausgegangen bin, dass ich sie gelöscht hatte. Ich weiß eben wirklich nicht immer, was die Kiste macht.
Viel Spaß hierbei, ich hoffe, ich hab alles ordentlich unkenntlich gemacht.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:35, on 07.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ordner-Verzeichnis\Internet-Sicherheit\Zone

Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\spider.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Gxxx.Kxxx\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.live.com/?mkt=en-us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://de.rd.yahoo.com/customize/ie/...arch.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

hxxp://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*hxxp://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://faq.gmx.de/search/go.php?t=n12079
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat

5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame

Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Dokumente und Einstellungen\All

Users\Startmenü\Programme\Ordner-Verzeichnis\Internet-Sicherheit\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [GMX_GMX Upload-Manager] "C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe"

/systray /nologon
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - hxxp://chat.waslos.de/Java/cfs31229.cab
O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - hxxp://chat.waslos.de/Java/cfs31235.cab
O16 - DPF: ChatSpace Java Client 3.0.0.205 - hxxp://chat.waslos.de/Java/cms3205.cab
O16 - DPF: JT's Blocks - hxxp://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Yahoo! Dominoes - hxxp://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - hxxp://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! MahJong - hxxp://download.games.yahoo.com/games/clients/y/ot0_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - hxxp://download.games.yahoo.com/games/clients/y/mjst3_x.cab
O16 - DPF: Yahoo! Pyramids - hxxp://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: Yahoo! Towers 2.0 - hxxp://download.games.yahoo.com/games/clients/y/ywt0_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

hxxp://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) -

hxxp://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -

hxxp://pxxxsaxxx.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) -

hxxp://t-mobile.kodakmobile.de/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) -

hxxp://pxxxsaxxx.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

hxxp://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -

hxxp://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -

hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) -

hxxp://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Toolbar) -

hxxp://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{12EA649C-16FD-41AC-B3AD-59D51A900E18}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CFBD348-92D3-46E9-B38E-BB797A2CF32C}: NameServer =

192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{12EA649C-16FD-41AC-B3AD-59D51A900E18}: NameServer = 192.168.178.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} -

C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil

Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame

Dateien\AVM\de_serv.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia

Keyboard\nhksrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH -

C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8922 bytes

Was auch immer mit LEX**.exe gemeint war, ist hoffentlich ausgeschaltet durch das Entfernen des eh nicht mehr verwendeten Druckers, der SMS-Manager wurde aus der Start-Leiste entfernt.
Den Trojaner kann ich nicht finden hier?

Bis später oder morgen oder .... Danke jedenfalls!
Phoenix!

07.04.2008, 21:31

Also dein Logfile sieht sauber aus

Bitte lass mal ComboFix laufen (vorher CCleaner anwenden) und den Report posten bitte.
Bitte lass auch einmal Malwarebytes (link in meiner Signatur) laufen und poste den Report

Phoenix71 · 10.04.2008, 15:37

Uff... Hat etwas länger gedauert, aber hier ist das log von ComboFix.
Mir sind ein paar Sachen aufgefallen, vielleicht kannst Du mir ja was dazu sagen:
Zylom ist eines der Programme, von denen ich ausgegangen bin, dass sie gelöscht wurden, trotzdem kommt es in diesem Log vor.
Ist ctfmon.exe die seltsame Datei, die den Mauszeiger dazu bringt sich zu bewegen, auch wenn man die Maus gar nicht anfasst?
Was bitte ist NeroCheck.exe?
Mir ist klar, dass das Fragen sind, die vermutlich nicht in diesen Bereich des Forums gehören - ich kanns also durchaus verstehen, wenn sie nicht beantwortet werden.
Und nun das Log:
ComboFix 08-04-09.9 - Gxx 2008-04-10 15:53:02.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.173 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gxxx.Kxxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-10 bis 2008-04-10 ))))))))))))))))))))))))))))))
.

2008-04-10 15:41 . 2008-04-10 15:41 <DIR> d-------- C:\Programme\CCleaner
2008-03-31 15:56 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys
2008-03-31 15:56 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-10 13:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-09 19:28 72,704 ----a-w C:\WINDOWS\Internet Logs\xDB239.tmp
2008-04-09 19:28 6,176,768 ----a-w C:\WINDOWS\Internet Logs\xDB23A.tmp
2008-04-08 20:30 69,120 ----a-w C:\WINDOWS\Internet Logs\xDB238.tmp
2008-04-07 20:16 6,154,752 ----a-w C:\WINDOWS\Internet Logs\xDB237.tmp
2008-04-07 20:16 103,936 ----a-w C:\WINDOWS\Internet Logs\xDB236.tmp
2008-04-04 21:36 6,145,024 ----a-w C:\WINDOWS\Internet Logs\xDB235.tmp
2008-04-04 21:36 124,928 ----a-w C:\WINDOWS\Internet Logs\xDB234.tmp
2008-04-03 18:51 69,632 ----a-w C:\WINDOWS\Internet Logs\xDB233.tmp
2008-04-02 18:29 52,224 ----a-w C:\WINDOWS\Internet Logs\xDB232.tmp
2008-04-01 18:49 76,288 ----a-w C:\WINDOWS\Internet Logs\xDB230.tmp
2008-04-01 18:49 6,137,856 ----a-w C:\WINDOWS\Internet Logs\xDB231.tmp
2008-04-01 18:43 --------- d-----w C:\Programme\Messenger Plus! Live
2008-03-31 20:24 78,336 ----a-w C:\WINDOWS\Internet Logs\xDB22E.tmp
2008-03-31 20:24 6,130,688 ----a-w C:\WINDOWS\Internet Logs\xDB22F.tmp
2008-03-29 21:09 117,248 ----a-w C:\WINDOWS\Internet Logs\xDB22D.tmp
2008-03-29 17:45 1,146,232 ----a-w C:\WINDOWS\system32\aswBoot.exe
2008-03-29 17:35 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-29 17:29 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-29 17:27 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-29 17:26 26,944 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-29 17:23 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2008-03-26 21:32 61,440 ----a-w C:\WINDOWS\Internet Logs\xDB22C.tmp
2008-03-26 12:42 48,640 ----a-w C:\WINDOWS\Internet Logs\xDB22B.tmp
2008-03-25 20:11 46,592 ----a-w C:\WINDOWS\Internet Logs\xDB22A.tmp
2008-03-20 21:02 69,120 ----a-w C:\WINDOWS\Internet Logs\xDB228.tmp
2008-03-20 21:02 6,112,768 ----a-w C:\WINDOWS\Internet Logs\xDB229.tmp
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-19 21:53 73,216 ----a-w C:\WINDOWS\Internet Logs\xDB226.tmp
2008-03-19 21:53 6,112,256 ----a-w C:\WINDOWS\Internet Logs\xDB227.tmp
2008-03-16 21:04 71,168 ----a-w C:\WINDOWS\Internet Logs\xDB224.tmp
2008-03-16 21:04 6,109,696 ----a-w C:\WINDOWS\Internet Logs\xDB225.tmp
2008-03-14 23:41 6,109,184 ----a-w C:\WINDOWS\Internet Logs\xDB223.tmp
2008-03-14 23:41 129,536 ----a-w C:\WINDOWS\Internet Logs\xDB222.tmp
2008-03-13 20:46 67,072 ----a-w C:\WINDOWS\Internet Logs\xDB220.tmp
2008-03-13 20:46 6,106,624 ----a-w C:\WINDOWS\Internet Logs\xDB221.tmp
2008-03-12 20:05 82,432 ----a-w C:\WINDOWS\Internet Logs\xDB21F.tmp
2008-03-11 21:28 79,872 ----a-w C:\WINDOWS\Internet Logs\xDB21D.tmp
2008-03-11 21:28 6,099,968 ----a-w C:\WINDOWS\Internet Logs\xDB21E.tmp
2008-03-10 20:13 69,632 ----a-w C:\WINDOWS\Internet Logs\xDB21C.tmp
2008-03-09 12:57 75,776 ----a-w C:\WINDOWS\Internet Logs\xDB21A.tmp
2008-03-09 12:57 6,098,944 ----a-w C:\WINDOWS\Internet Logs\xDB21B.tmp
2008-03-07 21:35 6,098,432 ----a-w C:\WINDOWS\Internet Logs\xDB219.tmp
2008-03-07 21:35 131,072 ----a-w C:\WINDOWS\Internet Logs\xDB218.tmp
2008-03-06 20:21 73,216 ----a-w C:\WINDOWS\Internet Logs\xDB216.tmp
2008-03-06 20:21 6,095,872 ----a-w C:\WINDOWS\Internet Logs\xDB217.tmp
2008-03-05 20:37 6,093,824 ----a-w C:\WINDOWS\Internet Logs\xDB215.tmp
2008-03-05 20:37 53,248 ----a-w C:\WINDOWS\Internet Logs\xDB214.tmp
2008-03-03 21:24 70,656 ----a-w C:\WINDOWS\Internet Logs\xDB212.tmp
2008-03-03 21:24 6,090,752 ----a-w C:\WINDOWS\Internet Logs\xDB213.tmp
2008-03-02 20:32 74,752 ----a-w C:\WINDOWS\Internet Logs\xDB211.tmp
2008-03-02 11:41 6,089,728 ----a-w C:\WINDOWS\Internet Logs\xDB210.tmp
2008-03-02 11:41 48,128 ----a-w C:\WINDOWS\Internet Logs\xDB20F.tmp
2008-02-29 21:23 6,089,216 ----a-w C:\WINDOWS\Internet Logs\xDB20E.tmp
2008-02-29 21:23 126,976 ----a-w C:\WINDOWS\Internet Logs\xDB20D.tmp
2008-02-28 20:47 6,086,656 ----a-w C:\WINDOWS\Internet Logs\xDB20C.tmp
2008-02-28 20:47 51,200 ----a-w C:\WINDOWS\Internet Logs\xDB20B.tmp
2008-02-27 19:56 48,640 ----a-w C:\WINDOWS\Internet Logs\xDB20A.tmp
2008-02-26 20:32 75,264 ----a-w C:\WINDOWS\Internet Logs\xDB208.tmp
2008-02-26 20:32 6,083,584 ----a-w C:\WINDOWS\Internet Logs\xDB209.tmp
2008-02-25 18:56 65,536 ----a-w C:\WINDOWS\Internet Logs\xDB207.tmp
2008-02-25 14:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-02-24 20:00 62,976 ----a-w C:\WINDOWS\Internet Logs\xDB205.tmp
2008-02-24 20:00 6,082,560 ----a-w C:\WINDOWS\Internet Logs\xDB206.tmp
2008-02-24 12:30 77,824 ----a-w C:\WINDOWS\Internet Logs\xDB203.tmp
2008-02-24 12:30 6,082,048 ----a-w C:\WINDOWS\Internet Logs\xDB204.tmp
2008-02-22 20:34 6,081,536 ----a-w C:\WINDOWS\Internet Logs\xDB202.tmp
2008-02-22 20:34 133,632 ----a-w C:\WINDOWS\Internet Logs\xDB201.tmp
2008-02-21 20:28 80,384 ----a-w C:\WINDOWS\Internet Logs\xDB1FF.tmp
2008-02-21 20:28 6,078,976 ----a-w C:\WINDOWS\Internet Logs\xDB200.tmp
2008-02-20 19:30 74,752 ----a-w C:\WINDOWS\Internet Logs\xDB1FD.tmp
2008-02-20 19:30 6,078,464 ----a-w C:\WINDOWS\Internet Logs\xDB1FE.tmp
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-19 21:54 80,896 ----a-w C:\WINDOWS\Internet Logs\xDB1FB.tmp
2008-02-19 21:54 6,075,904 ----a-w C:\WINDOWS\Internet Logs\xDB1FC.tmp
2008-02-18 19:54 78,336 ----a-w C:\WINDOWS\Internet Logs\xDB1F9.tmp
2008-02-18 19:54 6,069,760 ----a-w C:\WINDOWS\Internet Logs\xDB1FA.tmp
2008-02-17 12:50 77,312 ----a-w C:\WINDOWS\Internet Logs\xDB1F7.tmp
2008-02-17 12:50 6,069,248 ----a-w C:\WINDOWS\Internet Logs\xDB1F8.tmp
2008-02-16 19:26 74,752 ----a-w C:\WINDOWS\Internet Logs\xDB1F6.tmp
2008-02-16 17:27 7,561,624 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-02-15 20:25 131,072 ----a-w C:\WINDOWS\Internet Logs\xDB1F5.tmp
2008-02-15 09:07 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe
2008-02-14 19:56 76,288 ----a-w C:\WINDOWS\Internet Logs\xDB1F4.tmp
2008-02-13 20:18 90,112 ----a-w C:\WINDOWS\Internet Logs\xDB1F3.tmp
2008-02-12 21:56 76,288 ----a-w C:\WINDOWS\Internet Logs\xDB1F2.tmp
2008-02-11 20:57 66,560 ----a-w C:\WINDOWS\Internet Logs\xDB1F0.tmp
2008-02-11 20:57 6,048,768 ----a-w C:\WINDOWS\Internet Logs\xDB1F1.tmp
2008-02-10 20:03 6,048,256 ----a-w C:\WINDOWS\Internet Logs\xDB1EF.tmp
2008-02-10 20:03 50,176 ----a-w C:\WINDOWS\Internet Logs\xDB1EE.tmp
2008-02-10 13:57 6,047,744 ----a-w C:\WINDOWS\Internet Logs\xDB1ED.tmp
2008-02-10 13:57 49,152 ----a-w C:\WINDOWS\Internet Logs\xDB1EC.tmp
2008-02-09 12:19 67,584 ----a-w C:\WINDOWS\Internet Logs\xDB1EB.tmp
2008-02-06 20:57 101,888 ----a-w C:\WINDOWS\Internet Logs\xDB1EA.tmp
2008-02-04 20:35 48,128 ----a-w C:\WINDOWS\Internet Logs\xDB1E9.tmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GMX_GMX Upload-Manager"="C:\Programme\GMX\GMX Upload-Manager\DAVSRV.exe" [2007-01-22 12:49 839680]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2007-11-20 16:29 360448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EM_EXEC"="C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-01-28 10:43 35328]
"MULTIMEDIA KEYBOARD"="C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe" [2002-02-06 19:26 151552]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-03-10 12:46 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 16:07 49263]
"ZoneAlarm Client"="C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ordner-Verzeichnis\Internet-Sicherheit\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 07:24 286720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2004-08-04 01:57 137216]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkvMon.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 01:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 07:24 286720 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-03-10 12:46 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys [2001-12-20 09:02]
R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2005-02-10 01:02]
R1 uigxrdr;uigxrdr;C:\WINDOWS\system32\DRIVERS\uigxrdr.sys [2007-01-22 12:49]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [1999-03-04 00:00]
R2 nhksrv;Netropa NHK Server;C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe [2001-08-06 06:41]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 12:14]
S1 lusbaudio;Logitech USB-Mikrofon;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 15:05]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-06-11 02:00]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2005-09-23 15:38]
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 15:05]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-04 15:17:49 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
"2008-04-10 14:00:54 C:\WINDOWS\Tasks\A9EBFE609184755C.job"
- c:\dokume~1\gxxx\anwend~1\filmdr~1\UpTickFrag.exe
"2008-02-27 06:32:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-04-10 13:10:01 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
"2008-04-10 13:06:26 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
"2003-01-28 22:50:00 C:\WINDOWS\Tasks\Registrierungserinnerung 2.job"
- C:\WINDOWS\System32\OOBE\oobebaln.exe
"2003-02-04 21:35:00 C:\WINDOWS\Tasks\Registrierungserinnerung 3.job"
- C:\WINDOWS\System32\OOBE\oobebaln.exe
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-10 16:00:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-10 16:23:55
ComboFix-quarantined-files.txt 2008-04-10 14:02:39
28 Verzeichnis(se), 2,792,202,240 Bytes frei
36 Verzeichnis(se), 2,752,692,224 Bytes frei
.
2008-04-08 20:29:52 --- E O F ---

11.04.2008, 16:31

Zitat:

Zitat von Phoenix71

Ist ctfmon.exe die seltsame Datei, die den Mauszeiger dazu bringt sich zu bewegen, auch wenn man die Maus gar nicht anfasst?
Was bitte ist NeroCheck.exe?
Mir ist klar, dass das Fragen sind, die vermutlich nicht in diesen Bereich des Forums gehören - ich kanns also durchaus verstehen, wenn sie nicht beantwortet werden.

Hallo

Antwort auf deine Fragen: Google

Wenn du den Ordner Zylom löschen willst, dann versuchs mal mit KillBox.

Nun zu ComboFix:

C:\WINDOWS\system32\aswBoot.exe
C:\WINDOWS\system32\dllcache\iedw.exe
C:\WINDOWS\pss\NkvMon.exe

Lass bitte eimal die oben genannten Datein hier oder hier online scannen und poste bitte den Report

07.04.2008, 11:48	#2
virus Gast	Trojaner "JS:Redirector"? hi phoenix Bitte erstelle als erstes ein HijackThis Logfile (link ist in meiner Signatur zu finden) __________________

07.04.2008, 21:31	#4
virus Gast	Trojaner "JS:Redirector"? Also dein Logfile sieht sauber aus Bitte lass mal ComboFix laufen (vorher CCleaner anwenden) und den Report posten bitte. Bitte lass auch einmal Malwarebytes (link in meiner Signatur) laufen und poste den Report

Trojaner "JS:Redirector"?

Plagegeister aller Art und deren Bekämpfung: Trojaner "JS:Redirector"?