Du musst Deine Webgewohnheiten ändern.

Azureus, Soulseek und LimeWire haben Dein System dahin gebracht, wo es ist.
Am besten deinstalliert Du den Crap gleich!


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Folder::
C:\VundoFix Backups
C:\Programme\RXToolBar
C:\Programme\TBONBin

File::
C:\WINDOWS\lgmxvpatwxm.dll
C:\WINDOWS\omlbpkaw.dll
C:\WINDOWS\pmsoarbf.dll
C:\WINDOWS\qtvglped.dll
C:\WINDOWS\rtqmekwg.exe
C:\WINDOWS\npqtsrak.exe
C:\WINDOWS\system32\065F44A906.sys

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{25D8BACF-3DE2-4B48-AE22-D659B8D835B0}"=-
[-HKEY_CLASSES_ROOT\clsid\{25d8bacf-3de2-4b48-ae22-d659b8d835b0}]
[-HKEY_CLASSES_ROOT\RXToolBar.TBInfo.1]
[-HKEY_CLASSES_ROOT\TypeLib\{66B20295-DC57-42B6-ACDF-52D916E86464}]
[-HKEY_CLASSES_ROOT\RXToolBar.TBInfo]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{25D8BACF-3DE2-4B48-AE22-D659B8D835B0}"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tbon"=-
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Hey hey danke dir, aber ich hatte mit den 3 programmen noch keine probleme zwecks viren oder dem zeug, diesen trojaner hab ich mir mit ner exe runtergezogen von nem keycracker, wobei ich allein schon bei dem aufbau der seite hätte stutzig werden müssen, aber s war mir ne lehre...

alles gemacht wie du geschrieben hast, das hat er ausgbespuckt:



ComboFix 08-04-17.1 - Ina Kießling 2008-04-19 8:23:19.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.173 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ina Kießling\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Ina Kießling\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\lgmxvpatwxm.dll
C:\WINDOWS\npqtsrak.exe
C:\WINDOWS\omlbpkaw.dll
C:\WINDOWS\pmsoarbf.dll
C:\WINDOWS\qtvglped.dll
C:\WINDOWS\rtqmekwg.exe
C:\WINDOWS\system32\065F44A906.sys
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\RXToolBar
C:\Programme\RXToolBar\Cache\CT
C:\Programme\RXToolBar\Cache\RXUpdate
C:\Programme\RXToolBar\CacheCatalog.rx
C:\Programme\RXToolBar\graphics\additional.gif
C:\Programme\RXToolBar\graphics\additional_active.gif
C:\Programme\RXToolBar\graphics\background.jpg
C:\Programme\RXToolBar\graphics\blue_hr_horz.GIF
C:\Programme\RXToolBar\graphics\gray_hr_horz.GIF
C:\Programme\RXToolBar\graphics\thumbtack.gif
C:\Programme\RXToolBar\graphics\thumbtack_active.gif
C:\Programme\RXToolBar\graphics\thumbtack_click.gif
C:\Programme\RXToolBar\HTML\content.htm
C:\Programme\RXToolBar\HTML\main.htm
C:\Programme\RXToolBar\rx.xml
C:\Programme\RXToolBar\rxtoolbar.cfg
C:\Programme\RXToolBar\RXToolBar.dll
C:\Programme\RXToolBar\rxwebsearches.xsl
C:\Programme\RXToolBar\Semantic Insight\bKPack01.01.dat
C:\Programme\RXToolBar\Semantic Insight\bKPack01.01.sig
C:\Programme\RXToolBar\Semantic Insight\bKPack01.dat
C:\Programme\RXToolBar\Semantic Insight\bKPack01.sig
C:\Programme\RXToolBar\Semantic Insight\bLabels01.dat
C:\Programme\RXToolBar\Semantic Insight\bLabels01.sig
C:\Programme\RXToolBar\Semantic Insight\CustomerSecret.Key
C:\Programme\RXToolBar\Semantic Insight\CustomerSecret.sig
C:\Programme\RXToolBar\Semantic Insight\nLabels01.dat
C:\Programme\RXToolBar\Semantic Insight\nLabels01.sig
C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.dat
C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe
C:\Programme\RXToolBar\sfcont.bin
C:\Programme\RXToolBar\sfcont.dll
C:\Programme\TBONBin
C:\Programme\TBONBin\tboninst.cfg
C:\Programme\TBONBin\TBONWnd.EXE
C:\VundoFix Backups
C:\WINDOWS\lgmxvpatwxm.dll
C:\WINDOWS\npqtsrak.exe
C:\WINDOWS\omlbpkaw.dll
C:\WINDOWS\pmsoarbf.dll
C:\WINDOWS\qtvglped.dll
C:\WINDOWS\rtqmekwg.exe
C:\WINDOWS\system32\065F44A906.sys

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-19 bis 2008-04-19 ))))))))))))))))))))))))))))))
.

2008-04-18 22:58 . <DIR> C:\Dokumente und Einstellungen\Ina Kie¯ling
2008-04-18 16:15 . 2008-04-18 16:15 <DIR> d-------- C:\Dokumente und Einstellungen\Ina Kießling\Anwendungsdaten\Steganos
2008-04-18 16:04 . 2008-04-18 17:12 <DIR> d-------- C:\Programme\XPcleanv5
2008-04-17 22:41 . 2008-04-17 23:03 29 --a------ C:\WINDOWS\Image Component
2008-04-17 22:40 . 2008-04-17 22:40 <DIR> d-------- C:\Programme\iFoxSoft
2008-04-17 22:32 . 2008-04-17 22:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-18 14:14 --------- d-----w C:\Dokumente und Einstellungen\Ina Kießling\Anwendungsdaten\Azureus
2008-04-18 14:01 --------- d-----w C:\Programme\Azureus
2008-04-18 04:49 --------- d-----w C:\Dokumente und Einstellungen\Ina Kießling\Anwendungsdaten\AdobeUM
2008-04-17 20:40 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-02 16:36 --------- d-----w C:\Programme\Soulseek
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-12 18:43 --------- d-----w C:\Programme\LimeWire
2008-02-27 10:15 --------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-02-26 19:06 --------- d-----w C:\Programme\MSN Messenger
2008-02-26 19:05 --------- d-----w C:\Programme\Windows Live
2008-02-26 19:04 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-02-26 19:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-02-22 11:35 --------- d-----w C:\Programme\CA
2008-02-22 11:32 --------- d-----w C:\Programme\Avira
2008-02-22 11:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2005-12-16 06:56 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-04-18_22.57.48.37 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-18 20:52:23 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-19 05:42:00 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 22:06 1135968 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-30 13:36 67128]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 02:04 1415824]
"msnmsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-07-08 11:05 729178]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-06-08 11:02 94208]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-06-08 10:59 77824]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2005-06-08 11:03 114688]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-09 15:17 14743552 C:\WINDOWS\RTHDCPL.EXE]
"RemoteControl"="C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2004-08-29 13:52 53248]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"AntivirusRegistration"="C:\Programme\CA\Etrust Antivirus\Register.exe" [2005-01-31 16:09 458752]
"KAZAA"="C:\Programme\Kazaa\kazaa.exe" [ ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 16:07 49263]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 10:46 497200]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 11:34 614960]
"LVCOMSX"="C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe" [2006-06-26 11:33 243248]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-23 13:34 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-03-30 13:36:16 67128]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\c-s\\Condition Zero\\czero.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Soulseek\\slsk.exe"=
"C:\\StubInstaller.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\Infogrames\\Tactical Ops\\System\\TacticalOps.exe"=
"D:\\nhkjd\\hl.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4661:TCP"= 4661:TCP:emule
"4662:TCP"= 4662:TCP:emule
"4665:TCP"= 4665:TCP:emule

R3 W33ND;W89C33 mPCI 802.11 Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\W33ND.SYS [2005-07-26 19:00]
S3 CBEN5;Xircom CardBus Ethernet-10/100-Adapterfamilientreiber;C:\WINDOWS\system32\DRIVERS\cben5.sys [2001-08-17 13:13]
S3 oflpydin;oflpydin;C:\DOKUME~1\INAKIE~1\LOKALE~1\Temp\oflpydin.sys []

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-19 08:25:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 20

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-19 8:27:12
ComboFix-quarantined-files.txt 2008-04-19 06:27:00
ComboFix2.txt 2008-04-18 20:58:26

14 Verzeichnis(se), 7,901,274,112 Bytes frei
16 Verzeichnis(se), 7,900,942,336 Bytes frei
.
2008-04-11 01:06:42 --- E O F ---

Zitat:

diesen trojaner hab ich mir mit ner exe runtergezogen von nem keycracker

Gut das Du das jetzt erst schreibst, nachdem der Rechner wohl wierder soweit fit ist.
Bei derartigen Befallswegen, lasse ich nämlich die Finger weg.

ach je, warum wenn ich fragen darf???

LG

Ich bin der Meinung, wer mit dem Feuer spielt, darf sich nicht wundern wenn er sich verbrennt.
Und bei hausgemachten Problemen sehe ich wenig sinn zu helfen. Das wird immer wieder passieren, wenn man da hilft.

My attitude

ich hoffe mal nicht. DANKE dir trotzdem!!

LG