Datei C:\WINDOWS\system32\taskmngr.exe infiziert durch den Virus "Trojan.Win32.Small.aln"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS:schchosts.exe infiziert durch den Virus "Backdoor.Win32.Poison.k"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "maxsearch Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "linkmedia Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "linkmedia Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "linkmedia Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "spyware.spyman Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmjblaunch.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmjb.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\ti.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "c:\Programme\Norton Internet Security\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\DOKUME~1\Heini\LOKALE~1\Temp\SqlSetup\Temp\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\DOKUME~1\Heini\LOKALE~1\Temp\SqlSetup\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Logitech\Video\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Adobe\Adobe Photoshop CS2\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Adobe\Adobe Photoshop CS2\Required\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Sony Ericsson\Mobile2\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Sony Ericsson\Mobile2\Drivers\Signed\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Sony Ericsson\Mobile2\Drivers\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\Dskm\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".bak". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".flt". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".GB". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".gba". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".jad". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".lua". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".mpga". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rjs". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rjt". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rnx". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rp". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rt". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".sgm". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ssf". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".tfx". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".vlt". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".WFF". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".xpi". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{0496D9E9-224B-4AFA-8F37-23B98D52F1EB}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{279DB581-239C-4E13-97F8-0F48E40BE75C}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{41C354B6-F2D5-422F-9DCF-001D8C30D09C}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{446DBFFA-4088-48E3-8932-74316BA4CAE4}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{50D8FFDD-90CD-4859-841F-AA1961C7767A}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{8DCBD4B1-DD30-4A9A-ADF7-FA3162B596C4}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{92FBAD46-E7F6-49FA-89B5-C39FC5BFAD15}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{C6A89125-5473-45E3-B413-ED8186437475}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{CD098537-8857-4065-B4B6-AC023CB2C48E}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{F6E692F1-63C2-4760-94C6-C689DCD053F1}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{F7185592-E40D-476E-9BC4-38DF96EE176B}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{91120407-6000-11D3-8CFE-0150048383C9}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{A50C25D7-62E9-4511-AD70-8E2DA5E79B7D}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AC76BA86-7AD7-1031-7B44-A70800000002}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AC76BA86-7AD7-1031-7B44-A70900000002}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{B2581F43-F400-4335-8AA6-9F163564ABCE}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\taskmngr.exe infiziert durch den Virus "Trojan.Win32.Small.aln"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\DOKUME~1\Heini\LOKALE~1\Temp\Install.exe infiziert durch den Virus "Trojan-Spy.Win32.Ardamax.n"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\Heini\Lokale Einstellungen\Temp\Install.exe infiziert durch den Virus "Trojan-Spy.Win32.Ardamax.n"! Maßnahme ergriffen: Keine Maßnahme ergriffen.



Hab in einem Forum gelesen das ich mal meinen pc durch escan durchrennen lassen soll und hier um rat fragen

Ich hoffe ihr könnt mir helfen, ich hab angst das ich einen hacker habe )=

Hi,

hui-hui-hui, über Backdoor und Spyware alles drauf...
Da ist es nicht mehr weit bis zum Neuaufsetzten, aber schau-ma-mal...

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Antimalewarebyte:
http://www.trojaner-board.de/51187-m...i-malware.html
Scannen und beseitigen, poste den Report...

Danach ein HJ-Log gemäß Signatur und DSS:
Download dss zum Desktop (http://www.techsupportforum.com/sect...eckard/dss.exe)
Schliesse alle Anwendungen und Doppelklicke dss.exe
Während DSS läuft, keine anderen Aktionen ausführen!
Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread

chris

Vielen dank erstmal das du so sozial bist und mit weiterhelfen willst

Das hier ist mal der Log aus Combo Fix

Zitat:

ComboFix 08-06-16.5 - Heini 2008-06-19 14:43:58.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.600 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Heini\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS - WINDOWS: deleted 1489068 bytes in 2 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\download plugin
C:\Programme\download plugin\DlPlugin-Moz\buddy.dat
C:\Programme\download plugin\DlPlugin-Moz\buddy.uri
C:\Programme\download plugin\DlPlugin-Moz\vendor.txt
C:\setup.exe
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\_000002_.tmp.dll
C:\WINDOWS\system32\_000003_.tmp.dll
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000009_.tmp.dll
C:\WINDOWS\system32\_000010_.tmp.dll
C:\WINDOWS\system32\28463
C:\WINDOWS\system32\28463\YUCG.001
C:\WINDOWS\system32\28463\YUCG.002
C:\WINDOWS\system32\28463\YUCG.006
C:\WINDOWS\system32\28463\YUCG.007
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-19 bis 2008-06-19 ))))))))))))))))))))))))))))))
.

2008-06-19 11:35 . 2008-06-19 11:35 0 --a------ C:\23990098.$$$
2008-06-18 16:05 . 2008-06-18 16:05 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-06-18 16:05 . 2008-06-18 16:05 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-06-18 16:05 . 2008-06-18 16:05 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-06-18 16:05 . 2008-06-18 16:05 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-06-18 16:05 . 2008-06-18 16:05 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-06-18 16:05 . 2008-06-18 16:05 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-06-18 16:03 . 2008-06-19 12:13 26 --a------ C:\WINDOWS\Lic.xxx
2008-06-14 18:53 . 2008-06-14 18:53 0 --a------ C:\WINDOWS\WoWEmuHackSettings.ini
2008-05-27 14:28 . 2008-06-17 23:03 318 --a------ C:\WINDOWS\WPE PRO.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-17 16:43 --------- d-----w C:\Programme\buffed
2008-06-16 12:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-16 12:32 --------- d-----w C:\Dokumente und Einstellungen\Heini\Anwendungsdaten\AdobeUM
2008-06-15 12:21 --------- d-----w C:\Dokumente und Einstellungen\Heini\Anwendungsdaten\Azureus
2008-06-14 13:58 --------- d-----w C:\Programme\World of Warcraft
2008-05-20 18:44 --------- d-----w C:\Programme\PokerStars
2008-05-14 22:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 08:41 --------- d-----w C:\Programme\Warcraft III
2008-05-07 04:55 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-24 09:16 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-23 12:07 --------- d-----w C:\Programme\Alcohol Soft
2008-04-23 12:02 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys.16177040
2008-04-23 08:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-01-30 13:00 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]
"msnmsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-20 21:58 7581696]
"nwiz"="nwiz.exe" [2006-07-20 21:58 1519616 C:\WINDOWS\system32\nwiz.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"Logitech Utility"="Logi_MwX.Exe" [2003-03-04 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
Gigaset WLAN Adapter Monitor.lnk - C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe [2007-03-29 16:38:29 36864]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Steam"="c:\progra~1\steam\steam.exe" -silent
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RTHDCPL"=RTHDCPL.EXE
"Alcmtr"=ALCMTR.EXE
"SkyTel"=SkyTel.EXE
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
"ehTray"=C:\WINDOWS\ehome\ehtray.exe
"Logitech Utility"=Logi_MwX.Exe
"Picasa Media Detector"=C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Steam\\uninstall_css.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Hamachi\\hamachi.exe"=
"C:\\Programme\\Teamspeak2_RC2\\TeamSpeak.exe"=
"C:\\Programme\\PokerStars\\PokerStarsUpdate.exe"=
"C:\\Programme\\Steam\\Steam.exe"=
"C:\\Programme\\VirtualDJ\\virtualdj_trial.exe"=
"C:\\Programme\\Warcraft III\\Frozen Throne.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Steam\\SteamApps\\the_heini\\counter-strike source\\hl2.exe"=
"C:\\Programme\\World of Warcraft\\Repair.exe"=
"C:\\Programme\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.5.6320-deDE-downloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-2.0.10.6448-to-2.0.12.6546-deDE-downloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe"=
"C:\\Programme\\World of Warcraft\\Launcher.exe"=
"C:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;C:\WINDOWS\system32\drivers\hcw88aud.sys [2006-06-16 13:35]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-03-21 10:51]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-08-03 18:34]
R2 NwSapAgent;SAP-Agent;C:\WINDOWS\system32\svchost.exe [2004-08-10 14:00]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-10 14:00]
R3 CBTNDIS5;CBTNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\CBTNDIS5.SYS [2003-07-16 23:28]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;C:\WINDOWS\system32\drivers\hcw88bda.sys [2006-06-16 14:16]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;C:\WINDOWS\system32\drivers\hcw88tse.sys [2006-06-16 13:34]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;C:\WINDOWS\system32\drivers\hcw88tun.sys [2006-06-16 13:34]
R3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2006-06-16 13:35]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2006-06-16 13:35]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 10:45]
R3 ZD1211U(Siemens);Gigaset USB Stick 54 Driver(Siemens);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-08-12 17:55]
S3 CEDRIVER52;CEDRIVER52;C:\Programme\Cheat Engine 52\dbk32.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72dc3a1a-112d-11dd-934b-0001e343ebc9}]
\Shell\AutoRun\command - K:\autorun.exe

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{105F32F2-D653-DA7C-0706-080100020502}]
C:\WINDOWS\system32\Shell_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{15C922AE-68E6-9993-0802-000004010304}]
C:\WINDOWS\system32\taskmngr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C5C5CF05-BE05-BECB-0340-51FDD2568DC5}]
C:\Programme\aviraav\penis.exe s

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CE11B721-F1D5-54CA-A0CC-B7D07027D4B9}]
C:\WINDOWS:schchosts.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-06-16 12:18:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-06-19 11:51:01 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-19 14:47:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-19 14:49:18
ComboFix-quarantined-files.txt 2008-06-19 12:48:34

12 Verzeichnis(se), 206,481,801,216 Bytes frei
16 Verzeichnis(se), 206,722,650,112 Bytes frei

196 --- E O F --- 2008-06-11 21:47:12

Malwarebytes scannt noch

Und hier der Malwarebytes Log

Zitat:

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 869

16:00:15 19.06.2008
mbam-log-6-19-2008 (16-00-15).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 213079
Scan Dauer: 56 minute(s), 51 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\system32 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\system32\klog.dat (Trojan.Agent) -> Quarantined and deleted successfully.

Hier ist der HJT Log

Logfile of Trend Micro HijackThis v2.0.2
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Und das hier ist jetzt der dss Log

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Sorry das mit dem Editieren hab ich voll verpeilt, hab jetzt einmal
Spybot - Search & Destroy drüberrennen lassen, ich glaub jetzt sollte
alles weg sein

Hi,

Okay, das sieht gar nicht so schlecht aus, combofix hat einiges erledigt...
Das HJ-Log ist sauber, Silentrunner bring noch etwas...

Bitte folgende Files prüfen (wenn Du sie findest, suche auf jeden Fall mal schchosts.exe):

Zitat:

C:\WINDOWS\system32\Shell_timer.exe
C:\Programme\aviraav\penis.exe
C:\WINDOWS:schchosts.exe
C:\WINDOWS\system32\taskmngr.exe
K:\autorun.exe

VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste das Ergebnis mit Filename;

KILLBOX - Pocket KillBox
Killbox - Pocket KillBox
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINDOWS\system32\Shell_timer.exe
C:\Programme\aviraav\penis.exe
C:\WINDOWS:schchosts.exe
C:\WINDOWS\system32\taskmngr.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten
Poste das Log der Killbox...


Öffne den Texteditor (Start-Programme->Zubehör->Editor) und kopiere folgende Zeilen rein:

Code: Alles auswählenAufklappen

ATTFilter

REGEDIT4

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{105F32F2-D653-DA7C-0706-080100020502}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{15C922AE-68E6-9993-0802-000004010304}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C5C5CF05-BE05-BECB-0340-51FDD2568DC5}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CE11B721-F1D5-54CA-A0CC-B7D07027D4B9}]
         

Lege vorher ein Backup der Registry an (oder einen Systemwiederherstellungspunkt ;o)...
Speichere die Datei unter virus.reg auf dem Desktop (die Datei darf nicht die Endung txt haben, sondern unbedingt
reg). Doppelklicken, Du wirst gefragt "zusammenführen" ->ja;


Registry aufräumen:
CCleaner - CCleaner 2.0
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen. Dann startest du den Rechner im normalen Modus neu.

Scann zum Abschluß mit PrevX und poste das Log:
Prevx CSI - FREE Malware Scanner

chris

C:\WINDOWS\system32\Shell_timer.exe:

weitere Informationen
File size: 971776 bytes
MD5...: e68e7daad28fe3b96094b1436acef106
SHA1..: 163e503957015f49fcb24b7479e23ef89cd909bc
SHA256: 6bcbf18df8b972006161621a483f32ad49a07217c6f36d6df2772c5246d3cc7a
SHA512: d5bc313e11d5881655682c9d7d47ef6f5c8d209296c0862bd84b91f4669a5847
36d00c47ace55a636812d994c714aeeefbdbe8e62d17374d2c03f7dc24b2750c
PEiD..: themida 1.0.0.5 -> Oreans Technology : Software Security Defined.
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x406014
timedatestamp.....: 0x44e0179d (Mon Aug 14 06:26:37 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x3000 0x1000 6.87 bc74ca567305576aafa3e09e80e4025c
.rsrc 0x4000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x5000 0x1000 0x400 0.74 80a9006b462af4a7b745a0ad4f3e6685
Themida 0x6000 0x1e6000 0xeb000 7.80 1e09d27e9ec72a792b084967f7f8d3bd

( 2 imports )
> KERNEL32.dll: CreateFileA, ExitProcess
> COMCTL32.dll: InitCommonControls

( 0 exports )
Prevx info: SHELL_TIMER.EXE - Prevx
packers (F-Prot): Themida

C:\Programme\aviraav\penis.exe:

worde von spybot search & destroy schon eliminiert anscheinend

C:\WINDOWS\schchosts.exe:

ist auch nicht mehr zu finden (hab den direkten pfad eingegeben und manuell gesucht)

C:\WINDOWS\system32\taskmngr.exe:

weitere Informationen
File size: 1025024 bytes
MD5...: ee232ed7caa289a44087adc3d2656962
SHA1..: d73e37ae00636678f31f01a86dad709cc60892e6
SHA256: 104bb283de0d9a944760847989627fb85681f4745e26e525aea601b1df882d5f
SHA512: 976465135246ce3d64b36134d8af04921506a98e0febf150b26d3f524547068b
d677334587679c2c4eb0e3378684add0fde581a2d16296655921ba6ceda40285
PEiD..: themida 1.0.0.5 -> Oreans Technology : Software Security Defined.
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x406014
timedatestamp.....: 0x44e0179d (Mon Aug 14 06:26:37 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x3000 0x1000 6.89 35ad954e51fb57ef0872f8366b64a942
.rsrc 0x4000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x5000 0x1000 0x400 0.74 80a9006b462af4a7b745a0ad4f3e6685
Themida 0x6000 0x201000 0xf8000 7.80 8983d752661c1af615a24becd5a48f76

( 2 imports )
> KERNEL32.dll: CreateFileA, ExitProcess
> COMCTL32.dll: InitCommonControls

( 0 exports )
Prevx info: TASKMNGR.EXE - Prevx
packers (F-Prot): Themida


K:\autorun.exe:

Ein Laufwerk "K" hab ich gar nich ^^


... Prevx CSI hat nic gefunden

Laufwerk K: ist wahrschnlich dein USB-Stick/Handy/Externe Festplatte oÄ..

Setz die Kiste neu auf! Du hast Unmengen an Spyware, Poison, und Bifrose drauf!