Trojaner eingefangen

sugar · 21.04.2008, 15:50

Hallo!

Ich hoffe ihr könnt mir bei meinem problem helfen.Hab mir einen Trojaner eingefangen Namens Win32.Zlob.lka Da ich leider wirklich keine ahnung habe wie und wo ich den finden kann und vorallendingen wie ich das ding wieder loswerde habe ich mich an euch gewant.Bin leider jemand der nicht wirklich ahnung von PCs hat aber hoffe trotzdem das ihr mir helfen könnt und ich es verstehe

Danke schon mal im vorraus

boston · 21.04.2008, 16:14

hallo, sugar,

lade dir hier bitte
http://www.trendsecure.com/portal/en...HiJackThis.exe
hijackthis herunter, nenne die hijackthis.exe in abc.exe um,
dann
- do a system scan and save a logfile
und dann poste das log hier.

sugar · 21.04.2008, 16:29

Hallo Boston

So also runtergeladen habe ich es mir und was soll ich da jetzt genau machen?Wie gesagt ich habe leider fast null ahnung.Wird warscheinlich ne schwere geburt mit mir werden.

boston · 21.04.2008, 16:39

oh, kein problem,
du benennst die hijackthis.exe in abc.exe um, führst die abc.exe aus,
dann do a system scan and save a logfile, dann
kopierst du den text, den dir HijackThis liefert(hijackthis.txt), und
fügst ihn komplett hier in diesem thread ein.
du kannst auch dieser detaillierten anleitung folgen, wenn du unsicher bist.
http://www.trojaner-board.de/51130-hijackthis.htm

sugar · 21.04.2008, 16:46

ok du meinst also das zweite fenster was dann aufgeht "hijackthis-editor"
daraus dann die ganzen zeichen,buschstaben und zahlen kopieren?

boston · 21.04.2008, 16:54

ja, alles komplett hier einfügen.

sugar · 21.04.2008, 16:55

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:45:10, on 21.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Trojancheck 6\tcguard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Programme\NetProject\sbmdl.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Programme\NetProject\wamdl.dll (file missing)
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ]
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie_ctx.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{39E3D6BE-4195-4F7C-AEA1-5B7D7E53FFC9}: NameServer = 213.191.92.86 62.109.123.7
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe

--
End of file - 5524 bytes

boston · 21.04.2008, 17:04

hi, sugar,
bearshare ist bestimmt kein sicherheitsgewinn für deinen rechner.

bitte nacheinander das anwenden

SmitFraudFix
combofix
http://www.trojaner-board.de/51187-m...i-malware.html

und rapport.txt, combofix.txt, das Anti-Malware log und dann
ein neues hjt-log posten.

sugar · 21.04.2008, 17:13

hey boston,ich weiß ein sicheitsgewinn ist es aufjedenfall nicht.
Sollte ich gleich das erste Laden was angeboten wird?Funktioniert leider nicht.Mach ich was falsch?

sugar · 21.04.2008, 17:17

ok hat doch geklappt.....also schick ich dir jetzt das erste

SmitFraudFix v2.315

Scan done at 18:16:14,10, 21.04.2008
Run from C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ Toolbar\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Trojancheck 6\tcguard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 213.191.92.86
DNS Server Search Order: 62.109.123.7

HKLM\SYSTEM\CCS\Services\Tcpip\..\{39E3D6BE-4195-4F7C-AEA1-5B7D7E53FFC9}: NameServer=213.191.92.86 62.109.123.7
HKLM\SYSTEM\CS1\Services\Tcpip\..\{39E3D6BE-4195-4F7C-AEA1-5B7D7E53FFC9}: NameServer=213.191.92.86 62.109.123.7

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

boston · 21.04.2008, 17:20

was funktioniert nicht?
im ersten fall wird das programm hier
http://siri.geekstogo.com/SmitfraudFix.exe
heruntergeladen und weiter gehts mit der verlinkten anleitung:
SmitFraudFix
lies dir diese und die zu combofix und anti-malware in ruhe durch und folge den schritten.

sugar · 21.04.2008, 17:42

hey boston

oh mensch....ist mir jetzt echt peinlich aber ich bekomm das irgendwie nicht hin....hab echt kein plan was ich tun muß.

boston · 21.04.2008, 18:11

ok, weiter gehts mit combofix.
eine detaillierte anleitung habe ich dir bereits verlinkt:
combofix
kurz gesagt:
lade dir hier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
combofix auf den desktop herunter,
alle programme, guards etc. schliessen.
combofix ausführen,
drücke die 1 und lass das programm durchlaufen.
währenddessen nichts(kein mouse-klick etc.) am computer machen
und dann das log combofix.txt posten(genau so alles abkopieren wie beim hijackthis-log).

danach folgst du dieser anleitung:
http://www.trojaner-board.de/51187-m...i-malware.html
und postest das log von anti-malware.

sugar · 21.04.2008, 18:45

mensch das hat gedauert

hier ist das was bei combofix rauskam

ComboFix 08-04-20.5 - Administrator 2008-04-21 19:14:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1448 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-21 bis 2008-04-21 ))))))))))))))))))))))))))))))
.

2008-04-21 18:16 . 2008-04-21 18:38 1,316 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-21 18:10 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-21 18:10 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-21 18:10 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-21 18:10 . 2008-04-21 10:01 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-21 18:10 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-21 18:10 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-21 18:10 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-21 16:14 . 2008-04-21 18:35 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-04-21 15:02 . 2008-04-21 15:02 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-04-21 15:02 . 2008-04-21 15:02 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-04-21 14:31 . 2008-04-21 15:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Trojancheck 6
2008-04-20 22:04 . 2008-04-20 22:04 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-04-18 07:34 . 2008-04-18 07:34 <DIR> d-------- C:\Programme\Reference Assemblies
2008-04-18 07:33 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-04-12 19:28 . 2008-04-12 19:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay
2008-04-05 21:01 . 2008-04-18 02:13 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-04-05 21:00 . 2008-04-05 21:00 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-04-05 21:00 . 2008-04-05 21:00 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-21 17:41 29,981,984 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-21 17:40 921,888 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-21 16:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-21 16:45 87,260 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-21 16:45 401,588 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-21 16:10 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ Toolbar
2008-04-21 13:18 --------- d-----w C:\Programme\USB Disk Win98 Driver
2008-04-21 13:18 --------- d-----w C:\Programme\MSN Messenger
2008-04-21 13:17 --------- d-----w C:\Programme\ICQToolbar
2008-04-21 09:07 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2008-04-18 20:18 --------- d-----w C:\Programme\ICQ6
2008-04-18 00:25 --------- d-----w C:\Programme\DivX
2008-04-17 15:53 96,645 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-04-17 15:53 87,941 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-17 15:28 --------- d-----w C:\Programme\Java
2008-03-12 11:10 633,344 ------w C:\WINDOWS\system32\gpprefcl.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7C109800-A5D5-438F-9640-18D17E168B88}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{51D81DD5-55B7-497F-95DB-D356429BB54E}"= "C:\Programme\NetProject\wamdl.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{51d81dd5-55b7-497f-95db-d356429bb54e}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{51D81DD5-55B7-497F-95DB-D356429BB54E}"= C:\Programme\NetProject\wamdl.dll [ ]

[HKEY_CLASSES_ROOT\clsid\{51d81dd5-55b7-497f-95db-d356429bb54e}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"MsnMsgr"="~C:\Programme\MSN Messenger\MsnMsgr.exe" [ ]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-10-14 19:09 103712]
"Nero PhotoShow Media Manager"="C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe" [ ]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]
"ICQ"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-05-19 23:36 218640]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 09:28 16126464 C:\WINDOWS\RTHDCPL.exe]
"BearShare"="C:\Programme\BearShare\BearShare.exe" [ ]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2006-02-28 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-10-14 19:09 103712]
"USB Storage Toolbox"="C:\Programme\USB Disk Win98 Driver\Res.EXE" [2005-09-14 21:44 65536]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
"msacm.scg726"= scg726.acm
"msacm.alf2cd"= alf2cd.acm
"msacm.ac3acm"= AC3ACM.acm
"vidc.dvsd"= mcdvd_32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 15:58]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-21 19:40:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.de\SharingMetadata\Working\database_F874_1CFF_741C_C274\fsr00384.log 131072 bytes
Scan erfolgreich abgeschlossen
versteckte Dateien: 14

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-21 19:42:30
ComboFix-quarantined-files.txt 2008-04-21 17:42:02

6 Verzeichnis(se), 141,551,599,616 Bytes frei
9 Verzeichnis(se), 141,759,508,480 Bytes frei

131 --- E O F --- 2008-04-18 22:39:26

sugar · 21.04.2008, 19:16

hi boston

so nun habe ich das letzt auch noch geschafft

schade das du nicht mehr da bist.hat wohl zu lang gedauert.

ich schicke dir trotzdem mal was dabei rausgekommen ist und hoffe vielleicht das du morgen wieder da bist.bin gegen nachmittag wieder da

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 666

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 72112
Scan Dauer: 19 minute(s), 40 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 5
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{51d81dd5-55b7-497f-95db-d356429bb54e} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7c109800-a5d5-438f-9640-18d17e168b88} (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{51d81dd5-55b7-497f-95db-d356429bb54e} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{51d81dd5-55b7-497f-95db-d356429bb54e} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securewebinfo.com (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.safetyincludes.com (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securemanaging.com (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\a0c.FC8D1C2801C8A3D2.history\00000060.bak (Trojan.Zlob) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\b8c.FC1AAB4801C8A3D2.history\000000ac.bak (Trojan.Zlob) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\c54.FC1121E001C8A3D2.history\000000ac.bak (Trojan.Zlob) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\c70.2EB3F35201C8A3D3.history\0000002c.bak (Trojan.Zlob) -> Delete on reboot.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP157\A0017253.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP157\A0017259.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP157\A0017260.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP158\A0017270.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP158\A0017273.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP158\A0017283.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP158\A0017285.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1F155B20-12B2-46E4-96A6-BF792A902533}\RP158\A0017287.dll (Trojan.Zlob) -> Quarantined and deleted successfully.

Trojaner eingefangen

Plagegeister aller Art und deren Bekämpfung: Trojaner eingefangen